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iPhone とエンタープライズ 


iPhone、iPod touch、 および iPad をエンタープライズシステムに統 
合する方法について説明します。 

このガイドはシステム管理者用です。 iPhone、iPod touch 、 および iPad をエンタープライズ環 
境巧で配備およびサポートする方法について説明します。 

iPhone OS 3.0 L 乂降のエンタープライズ対応の新機能 

iPhone 0 S 3. X には多数の改を点があり、それにはエンタープライズユーザが特別な関むを持っ 
ているな下の項目が含まれます： 

• CalDAV カレンダーのワイヤレス同期に対応しています。 

• LDAP サーバは、メール、アドレスブック、および SMS の連絡先の検索に巧応しています。 

• 構成プロファイルは、削除には管理パスワードが必要になるよラに、暗号化してデバイスに 
ロックすることができます。 

•「 iPhone 構成ユーティリティ」で、暗号化された構成プロファイルを、コンピュータに USB で 
接続されているデバイスに直接追加したり削除したりできます。 

• 0 CSP (オンライン証明書状況プロトコル）が証明書失効に対応しています。 

• オンデマンドの証明書ベースの VPN 接続に巧応ずるよラになりました。 

. 構成プロファイルおよび VPN サーバによる VPN プロキシ構成に対応するようになりました。 

• Microsoft Exchange ユーザは、ほかのユーザに会議の参加を依頼できます 。 Microsoft 
Exchange 2007ユーザは、返信状況を表示することもできまず。 

• Exchange ActiveSync クライアントの証明書べースの認証に対応しています。 

• EAS protocol 12.1 に加え、その他の EAS ポリシーにも対応していまず。 

• デバイスがロックされるまでの時間を指定したり、カメラを無効にしたり、ユーザがデバイス 
のディスプレイのスクリーンシヨットを撮ることを禁止したりなどのデバイス制限を追加で 
きます。 

. 口ーカル•メール•メッセージと力しンダーのイベントを検索することができまず。 IMAP 、 
MobileMe 、 および Exchange 2007の場合は、サーバ上にあるメールも検索できます。 

• プッシュメール配信用に追加のメールフォルダを指定できまず。 

. 構成プロファイルを使用して APN プロキシ設定を指定できます。 

. 構成プロファイルを使用して Web クリップをインストールできまず。 
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• 802.1 xEAP - SIM に対応するようになりました。 

• SCEP (Simple Certificate Enrollment Protocol ) サーバ'を使用して、デバイスを無線で認証 
して登録できます。 

• HTunesj でデバイスのバックアップを暗号化されたフォーマットで保存できます。 

•「 iPhone 構成ユーティリティ」でスクリプトを使ってプロファイルを作成できます。 

• iPhone 構成ユーティリティ 2.2 は、 iPad 、 iPhone 、 および iPod touch に対応していまず。 
Mac OS X vlO .6 Snow Leopard が必要です 。 Windows 7 にも対応しています。 


システム要件 

ここでは、システム要件の概要と、 iPhone、iPod touch 、 および iPad を エン タープライズシス 
テムに統合ずるために利用できるさまざまなコンポーネントの概要に ついて 説明します。 

iPhone と iPod touch 

iPhone および iPod touch デバイスを エン タープライズネットワークで使用するときは、 
iPhone 0 S 3.1. x にアップデートずる必要があります。 

iPad 

iPad は 、 iPhone OS 3.2. x にアップデートする必要がありまず。 

iTunes 

デバイスを設定ずるには 、 iTunes 9.1 仪降が必要です。 「 iTunes 」 は、 iPhone、iPod touch 、 お 
よび iPad のソフトウェア•アップデートをインス!ルずるためにも必要です。アプリケーシヨ 
ンをインストールしたり、音楽、ビデオ、メモ、またはその他のデータを Mac または PC と同期 
したりするときにも、 「 iTunes 」 を使用しまず。 

「 iTunes 」 を使用ずるには 、 USB 2.0 ポートが装備された、 HTunesj の Web サイトにリストさ 
れている最小要件を満たす Mac または PC が必要です。 www . apple . com / jp / itunes / download / 
を参照してください。 

iPhone 構成ユーティリティ 

「 iPhone 構成ユーティリティ」では、構成プロファイルの作成、暗号化、およびインストール、 
プロビジヨニングプロファイルと承認されたアプリケーシヨンの追跡とインストール、コンソー 
ル ロ グなどのデバイス情報の取得を行ラことができます。 

「 iPhone 構成ューティリティ」は次のいずれかの要件を満たす必要がありまず： 

• Mac OS X vlO .5 Snow Leopard 

• Windows XP Service Pack 3 (.NET Framework 3.5 Service Pack 1 が必要） 

• Windows Vista Service Pack 1 (.NET Framework 3.5 Service Pack 1 が必要） 

• Windows 7 (.NET Framework 3.5 Service Pack 1 が必要） 


「 iPhone 構成ユーティリテイ」は、64ビットバージョンの Windows 上で、32ビットモードで 
動作します。 


序文 iPhone とエンタープライズ 
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.Net Framework 3.5 Service Pack 1 のインストーラは、 

http :// www . microsoft . com/down loads / details . aspx ? familyid = ab 99342卜 5 d 1 a -413 d -831 9- 
81 da 479 ab 0 d 7 からダウンロードできます。 

このユーティリティにより、構成プロファイルを含む Outlook メッセージを添付ファイルとし 
て作成することができます。さらに、デスクトップのアドレスブックのユーザの名前とメールア 
ドレスを、このユーティリティに接続したデバイスに割り当てることができまず。これらの機能 
は両方とも Outlook を必要とし、 Outlook Express と互換性はありません。 Windows XP コン 
ピュータでこれらの機能を使用するときは、2007 Microsoft Office System Update のインス 
卜ールが必要になる場合があります：再配布可能なプライマリ相互運用機能アセンブリ。これは、 
.NET Framework 3.5 Service Pack 1 より前に Outlook をインストールした場合に必要です。 

プライマリ相互運用機能アセンブリのインス!ラは、 

http :// www . microsoft . com/down loads / details . aspx ? FamilylD =59 daebaa - bed 4-4282- a 28 c - 
b 864 d 8 bfa 513 から入手できます。 


Microsoft Exchange ActiveSync 

iPhone、iPod touch 、 および iPad は、仪下のパ'—ジョンの Microsoft Exchange に対■応してい 
ます： 

• Exchange Server 2003 Service Pack 2用の Exchange ActiveSync ( EAS ) 

• Exchange ActiveSync for Exchange Server ( EAS ) 2007 

Exchange 2007のポリシーと機能のサポートには 、 Service Pack 1が必要でず。 

対応している Exchange ActiveSync ポリシー 

次の Exchange ポリシーに对■応していまず： 

• デバイスを使用するためのパスワードを要求 （ SP 2)、 パスワードを要求 （ SP 1) 

• 最低限必要なパスワードの長さ（文き数）を指定する （ SP 2) 、最低限必要なパスワードの長 
さ ( SP 1) 

• 次の回数、試行に失敗したらデバイスを無効にする （ SP 2) 、パスワードの入カミスが許され 
る回数 （ SP 1) 

• PIN には数宇と文字の両方を含める必要がある （ SP 2)、 英数字のパスワードが必要 （ SP 1) 

• 休止時間（分）を指定する ( SP 2) S ユーザが最後にパスワードを入力してから再入力するま 
での時間（分） （ SP 1) 

が下の Exchange 2007ポリシーにも対応しています： 

• 簡易パスワードの許可または禁止 
• パスワードの有効期限 
• パスワード履歴 
. ポリシーの更新間隔 
. パスワード内の複合文字の最小数 
. ローミング中に手動同期が必要 


序文 iPhone とエンタープライズ 


• カメラを許可 
• デバイスの暗号化が必要 


各ポリシーの説明については 、 Exchange ActiveSync の製品ドキュメントを參照してください。 

デバイスの暗号化を要求する Exchange ポリシー （ RequireDeviceEncryption ) は 、 iPhone 3 GS 、 
iPod touch (32 GB が上の2009年秋モデル）、および iPad でサポートされていまず。 iPhone 、 
iPhone 3 G 、 およびその他の iPod touch モデルではデバイスの暗号化がサポートされないため、 
デバイスの暗号化が必要な Exchange Server には接続できません。 

Exchange 2003で 「 PIN には数字と文字の両方を含める必要がある」ポリシーを有効にするか、 
または Exchange 2007で「英数きのパスワードが必要 j ポリシーを有効にずると、ユーザは1 
文字臥上の複合文字を含むデバイスパスコードを入力する必要があります。 

非アクティブ時間ポリシー （ MaxInactivityTimeDeviceLock または AEFrequencyValue ) で指 
定ずる値は、ユーザが「設定」〉「一般」>「自動ロック」および「設定 J >「一般」〉「パス 
コードロック J >「パスコードを要ま」で選択できる最大値を設定するために使用されます。 

リモートワイプ 

iPhone、iPod touch 、 または iPad の]ンテンツをリモートワイプできまず。ワイプによって、 
デバイス上のすべてのデータと構成情報が取り除かれます。デバイスはま全に消去され、元の出 
荷時の設定に復元されます。 

重要： ワイプによって iPhone および iPhone 3 G 上のデータが上書きされます。これには8 GB 
のデバイス容量ごとに約1時間かかることがありまず。ワイプの前にデバイスを電源コンセント 
に接続してください。電力不足のためにデバイスの電源が切れた場合は、デバイスを電源に接続 
したときにワイプ処理が再開されます 。 iPhone 3 GS および iPad のワイプによって、データへの 
暗号化鍵が辆除されます （256 ビット AES 暗号化を使って暗号化されていまず）。ワイプは即座 
に実巧されます。 

Exchange Server 2007では 、 Exchange 管理コンソール 、 Outlook Web Access 、 または Exchange 
ActiveSync Mobile Administration Web ツールを使用してリモートワイプを開始できます。 

Exchanae Server 2003では 、 Exchange ActiveSync Mobile Administration Web ツールを使用 
してリモートワイプを開始できます。 

「一般」設定の「リセット」メニューから「すべてのコンテンツと設定を消去 J を選択ずれば、 
ユーザが自分のデバイスをワイプすることもできまず。パスコードに何回か失敗すると自動的に 
ワイプが開始されるよラにデバイスを構成することもできます。 


紛失したためにワイプしたデバイスを回復するときは、 「 iTunesj 内のデバイスの最新のバック 
アップを使って復元します。 


序文 iPhone とエンタープライズ 


9 


Microsoft ダイレクトプッシュ 

Exchange サーバは、パケット接続や Wi - Fi データ接続を使用できる場合は、メール、連絡先、 
カレンダーのイベントを自動的に iPhone および iPad Wi-Fi + 3 G に配信します 。 iPod touch と 
iPad Wi - Fi にはパケット接続がないため、デバイスが動作中で Wi - Fi ネットワークに接続されて 
いるときだけプッシュ通知を受け取ります。 

Microsoft Exchanae Autoaiscovery 

Exchange Server 2007 の自動検出サービスに対応していまず。デバイスを手動で構成するとき 
は、自動検出によって、メールアドレスとパスワードに基づいて正しい Exchange サーバ情報が 
自動的に判別されます。自動検出サービスを有効にずる方法については、 
http :// technet . microsoft . com / en - us / library / cc 539114 .aspx を参照してく ださい。 

Microsoft Exchange グロー バルアド レスー 覧 

iPhone、iPod touch 、 および iPad では、 Exchange サーバの会社のディレクトリから連絡先情 
報が取得されます。「連絡先 J で検索ずるときにこのディレクトリにアクセスできまず。メール 
アドしスを入力ずるときは、このディしクトリが自動的にアクセスされて入力が補完されます。 

対応しているその他の Exchange ActiveSync 機能 

iPhoneOS は、ずでに説明した機能に加え、が下の機能に対応しています： 

• 力しンダーの參加依頼を作成ずる 。 Microsoft Exchange 2007では、参加依頼に対ずる返信状 
況を表示することもできます。 

• 力しンダーのイベントに「予定なし」、「予定あり」、「仮承語」、または「不在」の状況を設定する。 
• サーバ上のメールメッセージを検索する 。 Microsoft Exchange 2007が必要です。 

• Exchange ActiveSync クライアントの証明書べースの認証。 

対応していない Exchange ActiveSync 機能 

巧応していない Exchange 機能もあります。側を示しまず： 

• フォルダ管理 

• Sharepoint Server に保存された書類へのリンクをメール内で開くこと 
• タスクの同期 

• 「不在時 J の自動応答メッセージを設定ずること 

• メッセージにフォローアップ用のフラグを設定すること 

VPN 

iPhone 0 S は、が下のプロトコルおよび認証方法に対応する VPN サーバに接続できます： 

• L 2 TP/IPSeCo MS - CHAPV 2 パスワード 、 RSA SecurlD . および CryptoCard によるューザ認証、 
および共有シークしットによるコンピュータ認証。 

• PPTPo MS - CHAPV 2 パスワード、 RSASecurlD 、 および CryptoCard によるューザ認証。 

.Cisco IPSec (パスワード、 RSASecurlD 、 または CryptoCard によるューザ認証、および共有 
シークしットと証明書によるコンピュータ認証）。互換性のある CiscoVPN サーバと推巽構成 
については、「付録 Aj を参照してください。 
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証明書べースの認証を備えた Cisco IPSec は、構成時に指定するドメインのオンデマンド VPN に 
対応します。詳しくは、35ぺージの 「 VPN 設定」を参照してください。 

ネットワークセキュリティ 

iPhone 0 S は、 Wi-Fi Alliance が定義ずる臥下の 802.111 ワイヤしス•ネットワーク•セキュリ 
ティ標準に対応しています： 

• WEP 


• WPA パーソナル 

• WPA エン タープライズ 

• WPA 2 パーソナル 

• WPA 2 エン タープライズ 

また 、 WPA エン タープライズおよび WPA 2 エン タープライズネットワークのが下の802. IX 認証 
方法にも対応しています： 

• EAP-TLS 

• EAP -TTLS 

• EAP-FAST 

• EAP-SIM 

• PEAPvO、PEAPvl 

• LEAP 

証明書と固有名 

iPhone、iPod touch 、 および iPad では、 RSA キーによる X .509 証明書を使用できまず。認識さ 
れるファイル拡張子は、 . cer 、 .〔け、および. der です。証明書チェーンの評価は、 「 Safarij 、 「メー 
ル」、 > VPN 」、 およびその他のアプリケーションによって実行されます。 

固有名が1つだけ含まれる P 12 ( PKCS #12 標準）ファイルを使用します。認識されるファイル 
拡張子は、 . p 12 および. pfx でず。固有名がインストールされると、ユーザはそれを保護してい 
るパスフしーズの入力を求められます。 

信頼されるルート証明書への証明書チェーンを確立ずるために必要な証明書は、手動でまたは構 
成プロファイルを使ってインストールできます。デバイス上にあらかじめ用意されているルート 
証明書は追加ずる必要はありません。インストール済みのシステムルートのリストについては、 
アップルのサポート記事（英語版） （ h け p :// support . apple . com / kb / HT 3580) を参照してくだ 
さし、。 

証明書は、 SCEP 経由でま全に無線でインス!ルできます。詳しくは、22ぺージの「認証され 
ている登録および構成プロセスの概要」を参照してください。 
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メール アカウント 

iPhone、iPod touch 、 および iPad は、 Windows 、 UNIX 、 Linux 、 MacOSX などのさまざまな 
サーバプラットフォーム上で、業界標準の IMAP 4 および POP 3 対応のメールソリューションに 
対応しています。 IMAP を使って Exchange アカウントからメールにアクセスしたり、ダイレク 
トプッシュが有効になっている Exchange アカウントを使用ずることもできます。 

ユーザが自分の メールを 検索する場合は、検索を メールサーバで 続行するオプションがありま 
す。これは 、 Microsoft Exchange Server 2007と、大半の IMAP ベー スのアカウントで使用で 
きます。 


Exchange のユーザ ID とパスワードなどのユーザのメールアカウント情報は、デバイス上にセ 
キュリティ保護された状態で保をされます。 


LDAP サーバ 

iPhone、iPod touch 、 および iPad では、会社の LDAPv 3 サーバ上の会社のディしクトリから連 
絡先情報が取得されまず。「連絡先 J で検索するときにこれらのディレクトリにアクセスできま 
ず。また、メールアドレスを入力するときは、このディレクトリが自動的にアクセスされてメー 
ルアドレスが補完されます。 


CalDAV サーバ 

iPhone、iPod touch 、 および iPad では、カレンダーデータが会社の CalDAV サーバと同期され 
まず。カレンダーに対する蜜要は、デバイスとサーバ'間で定期的にアップデートされまず。 

また、休日の力しンダーや同僚のスケジュールのカレンダーなど、読み取り専用の公開された力 
しンダーを照会ずることもできます。 

デバイスからの新しい力しンダーの参加依頼の作成と送信は、 CalDAV アカウントでは対応して 
いません。 
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その他の参考資料 

このガイドが外に、が下の出版物や Web サイトで役に立つ情報が提供されています： 

• 「iPhone とエンタープライズ」の Web ぺージ （ www . apple . com / jp / iphone / enterprise /) 

• 「ビジネスに iPad を」の Web ぺージ ( www . apple . com / jp / ipad / business /) 

• Exchange 製品の概要 （ http :// technet . microsoft . com / en - us / library / bb 124558. aspx ) 

• Exchange ActiveSync の配備 ( http :// technet . microsoft . com / en - us / library / aa 995962 .aspxj 

• Exchange 2003テクニカルライブラリ 
( http :// technet . microsoft . com / en - us/libra ry / bbl 2%72( EXCHG .65). aspx ) 

• Exchange ActiveSync セキュリティの管理 
( http :// technet . microsoft . com / en - us / library / bb 232020 ( EXCHG .80). aspx ) 

•「 Wi-Fi for Enterprisej の Web ぺージ （ www . wi - ri . org / enterprise . php ) 

• iPhone VPN t Cisco Adaptive Security Appliances ( ASA ) との接続 

( WWW . cisco . com / en / US / docs / security / vpn _ client / cisco _ vpn _ client/iP hone /2.0/ 
connectivity / guide / iphone . html ) 

•「 iPhone ユーザガイド」 ( www . apple . com / jp / support / iphone / からダウン□—ドできます）。 
iPhone 上でこのユーザガイドを表示するには、 「 Safari 」 で 「 iPhone ユーザガイド j のブッ 
クマークをタップずる力、、 h け p :// help . apple . com / iphone / にアクセスしてください。 

• iPhone のビデオガイド （ www . apple . com / jp / iphone / guidedtour /) 

•「iPod touch ユーザガイド」 ( www . apple . com / jp / support/ipodtouch からダウン ロードでき 
ます ）。 iPod touch でこのユーザガイドを表示するには、 「 Safa んで 「iPod touch ユーザガ 
イド」をタップずるか、 http :// help . apple . com / ipodtouch / にアクセスしてください。 

• iPod touch のビデオカイド （ www . apple . com / jp / ipodtouch / auidedtour /) 

•「 iPad ユーザガイド」 （ www . apple . com / jp / support / ipad からダウンロードできます ）。 iPad 
上でこのユーザガイドを表示するには、 「 Safari 」 で 「 iPad ユーザガイド」をタップずる力、、 
http :// help . apple . com / ipad / にアクセスしてください。 

• iPad のビデオカイド ^ www . apple . com / ipad / auided - tour /) 


序文 iPhone とエンタープライズ 
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iPhone および iPod touch を配備ずる 


この章では、 iPhone、iPod touch 、 および iPad をエンタープライズ 
内に配備する方法の概要を説明します。 


iPhone、iPod touch 、 および iPad は 、 Microsoft Exchange 2003および2007、802 . IX ベース 
のセキュリティ保護されたワイヤレスネットワーク、および Cisco IPSec 仮想プライべートネッ 
トワークなど、エンタープライズシステムに簡単に統合できるように設計されていまず。あらゆ 
るエンタープライズソリューションと同様に、配備オプションを適切に計画して理解すること 
で、配備をより簡単に効率的に巧ラことができます。 

iPhone、iPod touch 、 および iPad の配備を計画するときは、次の点を考慮してください： 

• 会社の iPhone と iPad ( Wi-Fi + 3 G モデル）をワイヤレスパケット通信サービスにどのように 
アクティベーションしますか？ 

. ユーザはどのエンタープライズ•ネットワーク•サービス、アプリケーション、およびデータ 
にアクセスする必要がありまずか？ 

• 会社の機密データを保護するたゆにどのようなポリシーをデバイスに設定したいですか？ 

• デバイスを個別に手動で構成したいですか、または効率的な方まを使って多数のデバイスを構 
成したいですか？ 

エンタープライズ環境、 t ポリシー、ワイヤレスキヤリア、およびコンピュータと通信の要件に 
よって、配備戦略の調整方法が異なってきます。 
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デバイスをアクティべーションする 

iPhone を使って電話をかけたり、電話に出たり、テキストメッセージを送信したり、パケット 
通信に接続ずるには、 iPhone がワイヤレスキャリアにアクティべーションされている必要があ 
ります。個人および法人の音声通話料金、データ通話料金、およびアクティベーション手順につ 
いては、キャリアに問い合わせてください。 

iPhone には SIM 力ードを取り付ける必要があります。 SIM 力ードを取り付けた後に、 「 iTunes 」 
を使って iPhone をコンピュータに接続してアクティべーション処理を完了する必要がありま 
す。 SIM 力ードがずでに有効になっている場合は、 iPhone がすぐに使用できる状態です。そう 
でない場合は、 「 iTunesj の指示に従って新しいサービスのアクティべーション処理を行ってく 
ださい。 

iPad をアクティべーションずるには、 「 iTunes 」 を使って iPad がコンピュータに接続されてい 
る必要がありまず。米国内の iPad Wi - Fi + 3 G の場合は、 iPad を使って AT & T のデータプランに 
サインアップして管理（またはキャンセル）します。「設定」>「パケット接続 J >「アカウン 
卜を表示」と移動します。 iPad のロックが解除されるので、好きなキャリアを使用できまず。ア 
カウントを設定して互換性のあるマイクロ SIM 力ードを入手する場合は、キャリアに問い合わせ 
てください。米国では、 AT & T と互換性のあるマイクロ SIM 力ードが iPad Wi - Fi + 3 G に付属し 
ています。 

iPod touch および iPad Wi - Fi 用のパケット通信サービスや SIM 力ードはありませんが、アクティ 
ベーションのために 「 iTunes 」 を使って同様にコンピュータに接続する必要がありまず。 

アクティべーション処理を完了ずるには 「 iTunes 」 が必要なので、 「 iTunes 」 を各ユーザの Mac 
または PC にインス!ルするかどう力、、または各デバイスにインス!ルされている 「 iTunes 」 
を使ってアクティベーションを完了するかどうかを決定する必要があります。 

アクティべーションした後は、エンタープライズシステムでデバイスを使用ずるために 「 iTunes 」 
は必要ありませんが、ミュージック、ビデオ、および Web ブラウザのブックマークをコンピュー 
夕と同期するときには必要になります。また、デバイスにソフトウェア•アップデートをダウン 
ロードしてインストールするときや、エンタープライズアプリケーションをインストールすると 
きにも必要になります。 

デバイスのアクテイべーシヨンと TTunes 」 の使いかたについて詳しくは、第4章を参照してく 
ださし、。 


第 1 章 iPhone および iPod touch を配備ずる 
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ネットワークサービスとエンタープライズデータへのアクセスを準 
備する 

iPhone OS 3. x ソフトウェアでは、既存の Microsoft Exchange Server 2003 または200 7 ソ 
リューシヨンを使って、メール、連絡先、およびカレンダーをま全にプッシュしたり、アドレス 
をグローバル参照したり、リモートワイプしたり、デバイスにパスコードポリシーを適用したり 
できます。また、会社のリソースにま全に接続ずるときにも、 802.1 X ワイヤレス認証を使用し 
て WPA エン タープライズおよび WPA 2 エン タープライズワイヤレスネットワーク経由でアクセ 
スずるか、または PPTP 、 LT 2 PoverlPSec 、 または Cisco IPSec プロトコルを使用して VPN 経由 
でアクセスずるか、あるいはその両方を利用してアクセスずれば、ま全に接続することができ 
ます。 


会社で Microsoft Exchange が使用されていない場合でも、 iPhone または iPod touch のメール 
を標準的な POP または IMAP ベースのサーバやサービスとワイヤレスで同期することができ 
まず。また、 「 iTunes 」 を使用して、 MacOSX の nCal 」 や「アドレスブック j または Windows 
PC 上の 「Microsoft Outlook 」 から力しンダーイベントと連絡先を同期することもできます。 
カレンダーとデイレクトリへのワイヤレスアクセスについては、 CalDAV と LDAP が対応してい 
ます。 

ユーザがアクセスするネットワークサービスを決定ずるときは、これが降のセクションの情報を 
参照してください。 

Microsoft Exchanae 

iPhone は 、 Microsoft Exchange ActiveSync ( EAS ) 経由で Microsoft Exchange Server に直接 
接続します 。 Exchange ActiveSync は、新しいメールメッセージや会議の参加依頼が届いたらデ 
バイスがすぐにアップデートされるように 、 Exchange Server と iPhone または iPad Wi-Fi + 3 G 
との間の接続を監視しています 。 iPod touch と iPad Wi - Fi にはパケット接続がないので、デバ 
イスが動作中で Wi - n ネットワークに接続されているときにだけプッシュ通知を受け取ります。 

会社の Exchanae Server 2003または Exchange Server 2007上で Exchange ActiveSync に現 
在対応している場合は、ずでに必要なサービスが適切に構成されています 。 Exchange Server 
2007の場合は、「クライアントアクセスの役割 J がインス! -- ルされていることを確認してくだ 
さい 。 Exchange Server 2003の場合は 、 Outlook Mobile Access ( OMA ) が有効になっている 
ことを確認してください。 

会社に Exchange Server は配備されているけれども 、 Exchange ActiveSync をはじゆて使用す 
る場合は、これ臥降のセクションの情報を確認してください。 


ネットワーク構成 

• ファイアウォールでポート443が開いていることを確認します。会社で Outlook Web Access 
が使用されている場合は、ポート443がすでに開いている可能性が高いです。 

• IIS の Microsoft Server ActiveSync ディしクトリに接続ずるときに SSL 接続を要求するために、 
サーバ証明書がフロントエンド Exchange サーバにインストールされ、認証方法のプロパティ 
で基本認証のみが有効になっていることを確認します。 
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• Microsoft ISA (Internet Security and Acceleration ) サーバを使用ずる場合は、サーバ証明 
書がインストールされていることを確認してから、着信接続が適切に解決されるよラにパブ 
リック DNS をアップデートします。 

• ネットワークの DNS からイントラネットおよびインターネットクライアントの Exchange 
ActiveSync サーバに、外部ルーティング可能な1つのアドしスが返されることを確認します。 
これは、両方の接続が動作中のときに、デバイスがサーバに接続するときに同じ IP アドレス 
を使用できるようにするために必要です。 

• Microsoft ISA サーバ'を使用する場合は、 Web リスナーと Exchange Web クライアントアクセ 
ス公開ルールを作成します。詳細は、 Microsoft の製品ドキュメントを参照してください。 

• すべてのファイアウォールとネットワークアプライアンスのアイドル•セッション•タイムア 
ウトを30分に設定します。八ートビートおよびタイムアウトの間隔については 、 Microsoft 
Exchange の製品ドキュメント （ http :// technet . microsoft . com / en - us / library / cc 182270. aspx ) 
を参照してください。 

Exchange アカウント設定 

• Active Directory サービスを使用するユーザまたはグループのために 、 Exchange ActiveSync 
を有効にしまず 。 Exchange Server 2003および Exchange Server 2007の組織レベルでは、 
これらはすべてのモバイノしデバイスについてデフォルトで有効になっていまず 。 Exchange 
Server 2007の場合は、 Exchange 管理 コンソー ルの「受信者の構成」を確認してください。 

• Exchange システムマネージャを使用してモバイル機能、ポリシー、およびデバイスセキュリ 
ティ設定を構成しまず 。 Exchange Server 2007の場合は、 Exchange 管理コンソールで巧い 
ます。 

• Microsoft Exchange ActiveSync Mobile Administration Web ツールをダウンロードしてイ 
ンストールします。リモートワイプを開始するために必要です 。 Exchange Server 2007の場 
合は 、 Outlook Web Access または Exchange 管理コンソールを使用してリモートワイプを開 
始することもできます。 

WPA/WPA2 エンタープライズ Wi-Fi ネットワーク 

WPA エン タープライズと WPA 2 エン タープライズに対応することで、 iPhone、iPod touch 、 お 

よび iPad から会社のワイヤしスネットワークに安全にアクセスできるようになります。 WPA / 

WPA 2 エンタープライズでは AES 128ビット暗号化が使用されます。これは実績のあるブロック 

ベースの暗号化方式で、会社のデータが高いしべルで継続的に保護されます。 

802. IX 認証に対応することで 、 iPhone 0 S デバイスをさまざまな RADIUS サーバ環境に統合ず 

ることができまず。802. IX ワイヤしス認証方式に対応しているので、 EAP - TLS 、 EAP - TTLS 、 EAP - 

FAST 、 PEAPvO 、 PEAPvl 、 および LEAP を利用できます。 


WPA/WPA2 エンタープライズネットワーク構成 

. ネットワークアプライアンスの互換性を確認し、 iPhone、iPod touch 、 および iPad が対応し 
ている認証タイプ （ EAP タイプ）を選択します。認証サーバ上で802. IX が有効になっている 
ことを確認します。さらに必要に応じて、サーバ証明書をインストールし、ユーザとグループ 
にネットワークアクセス権を割り当てます。 
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• 802 . IX 認証用のワイヤしス-アクセス•ポイントを構成し、巧応する RADIUS サーバ情報を入 
力します。 

• RADIUS 認証が適切に構成されていることを確認するために、 Mac または PC で802. IX の配備を 
テストします。 

• 証明書ベースの認証を使用することを計画している場合は、公開鍵インフラストラクチャがそ 
の鍵配布プロセスでデバイスおよびユーザベースの証明書をサポートするよラに構成されて 
いることを確認します。 

• 証明書フォーマットとデバイスおよび認証サーバとの互換性を確認します。証明書について 
は、11ぺージの「証明書と固有名」を参照してください。 

仮想プライベートネットワーク 

iPhone、iPod touch 、 および iPad では、プライべートネットワークにセキュリティ保護された 
アクセスを行うために、 CiscolPSe し L 2 TP overlPSec . および PPTP 仮想プライべート•ネッ 
トワーク-プロトコルが使用されます。組織がこれらのいずれかのプロトコルに対応している場 
合は、 VPN インフラストラクチャでデバイスを使用ずるために追加のネットワーク構成や他社製 
アプリケーションは必要ありません。 

Cisco IPSec を配備することで、業界標準の X .509 証明書による証明書べースの認証を利用でき 
るようになりまず。さらに、証明書べースの認証により、エンタープライズネットワークへの 
シームレスでセキュリティ保護されたワイヤレスアクセスを可能にずる、 VPN オンデマンドを利 
用できるよラになります。 

2要素卜ークンべース認証のために 、 iPhone 0 S は RSA SecurlD および CryptoCard に対応して 
います。ユーザは VPN 接続を確立するときに、自分の PIN および!クンが生成したワンタイ 
ムパスワードをデバイスに直接入力します。互換性のある CiscoVPN サーバと推奨構成に ついて 
は、「付録んを参照してください。 

iPhone、iPod touch 、 および iPad は 、 Cisco IPSec と L 2 TP / IPSec が配備された環境のための共 
有シークしット認証、およびユーザ名とパスワードによる基本認証のための MS - CHAPV 2 にも巧 
応していまず。 

VPN プロキシ自動構成 （ PAC および WPAD ) も対応しています。これにより、特定の URL にア 
クセスするたゆのプロキシサーバ'設定を指定できまず。 

VPN 設定のガイドライン 

• iPhone 0 S は既存のほとんどの VPN ネットワークと互換性があるので、デバイスからネット 
ワークにアクセスずるために必要な構成は最小限で済みます。配備を準備するときは、会社の 
既存の VPN プロトコルと認証方式に iPhone が対応しているかどうかを確認することをお勧 
ゆします。 

.VPN ]ンセントレータの規格と互換性があることを確認します。また、 iPhoneOS が対応する 
規格が実装内で有効になっていることを確認するために、 RADIUS または認証サーバへの認証 
パスを確認することもお勧めしまず。 

. お使いのソフトウエアや機器が最新のセキュリティパッチやファームウエアでアップデート 
されていることを、ソリューシヨンプロバイダに問い合わせて確認してください。 
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• URL 固有のプロキシ設定を構成したい場合は、 PAC ファイルを基本 VPN 設定でアクセスできる 
Web サーバ上に置いて、 MIME タイプ application / x - ns - proxy - autoconfig で使用されるよう 
にします。または、同じようにアクセスできるサーバ上の WPAD ファイルの場所を指定ずる 
ように、 DNS または DHCP を構成します。 

IMAP メール 

Microsoft Exchange を使用していない場合でも、使用するメールサーバが IMAP をサポートし 
て ユーザ 認証と SSL を要求するよラに構成されていれば、セキュリティ保護された標準ベースの 
メールソリューシヨンを実装することができます。たとえば、この手法を使って Lotus Notes / 
Domino または Novell GroupWise のメールにアクセスできます。これらのメールサーバは、 
DMZ サブネットワークの内部、または会社のファイアウォールの背後、あるいはその両方に配 
備できます。 


SSL が実装されている iPhone 0 S は、128ビット暗号化および主要な認証局が発行する X .509 証 
明書に対応しています。また、業界標準の MD 5 チャレンジしスポンスや NTLMV 2 などの強力な 
認証方式にも対応していまず。 

IMAP ネットワーク設定のガイドライン 

• セキュリティ保護を強化する場合は、信頼された認証局 ( CA ) から発効されたデジタル証明 
書をサーバにインストールしてください。 CA からの証明書をインストールすることは、プロ 
キシサーバを会社のインフラストラクチャ内で信頼された エン ティティにするための重要な 
手順です。証明書を iPhone にインストールする方法については、38ぺージの「資格情報の 
設定 J を参照してください。 

• iPhone 0 S デバイスがサーバからメールを取得できるよラにするには、ファイアウオールで 
ポート993を開き、プロキシサーバが IMAP over SSL に設定されていることを確認します。 

. デバイスからメールを送信できるようにするには、ポート587、465、または25が開いている 
必要がありまず。ポート587が最初に使用されます。このよラに選択することをお勧めしまず。 

LDAP ディレクトリ 

iPhone 0 S では、標準べースの LDAP ディしクトリサーパ'にアクセスずることができ 、 Microsoft 
Exchange のグローバルアドしスー覧と同様のグローバル•アドしス•ディしクトリなどの情報 
を提供することができます。 

デバイスで LDAP アカウントが構成されていると、デフオルトの検索べースを識別するため、 
サーバのルートしべルで属性 namingContexts が検索されます。検索範囲はデフオルトではサ 
ブツリーに設定されていまず。 

CalDAV カレンダー 

iPhone 0 S の CalDAV のサポートにより 、 Microsoft Exchange を使用していない組織へのグロー 
バルカレンダーとスケジュー ルが提供されます。 iPhone 0 S は CalDAV 標準に巧応ずるカレン 
ダー サーバと連動します。 
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照会ずるカレンダー 

休日や特別なイベントスケジュールなど、会社のイベントの読み取り専用の力しンダーを公開し 
たい場合は 、 iPhone OS デバイスで力しンダーを照会し 、 Microsoft Exchange および CalDAV 
のカレンダーと一緒に情報を表示することができまず 。 iPhone 0 S では標準のに alendar (. ics ) 
フォーマットのカレンダーファイルを使用しまず。 

照会する力しンダーをユーザに配信するときは、 SMS またはメールで完全修飾 URL を送信する 
のが簡単でず。ユーザがリンクをタップすると、指定されたカレンダーが照会されます。 

エンタープライズアプリケーシヨン 

iPhone 0 S のエンタープライズアプリケーシヨンを配備するには、 「 iPhone 構成ユーティリティ」 
または HTunesj を使用して、それらのアプリケーシヨンをデバイスにインストールしてくださ 
い。アプリケーシヨンをユーザのデバイスに配備した後は、ユーザの Mac または PC に 「 iTunes 」 
がインス I -- ルされていれば、それらのアプリケーシヨンをより簡単にアップデートできます。 

オンライン証明書げ況プ□トコル 

iPhone 0 S デバイス用のデジタル証明書を提供するときは、 OCSP 加あの証明書を発行すること 
を考慮してください。こラすることで、デバイスは証明書が失効していないかどうかを OCSP 
サーバに確認してから使用できます。 


デバイスのパスコードポリシーを決定する 

ユーザがアクセスするネットワークサービスとデータを決定した後に、実装したいデバイス•バ 
スコー ド-ポリシーを決定する必要があります。 

会社のネットワーク、システム、またはアプリケーシヨンがパスワードや認証卜ークンを要ボし 
ない場合は、デバイス上でパスコードを要ホするように設定することをお勧めします。 802.1 X 
ネットワークまたは Cisco I PSec VPN で証明書べースの認証を使巧する場合、またはログイン資 
格情報を保をするエンタープライズアプリケーシヨンの場合は、デバイスパスコードを設定しそ 
のタイムアウトを短く設定するようユーザに要求することをお勧めします。デバイスが紛失した 
り盗まれても、デバイスバスコードを巧らない限り使用できないようにするためです。 

ポリシーを iPhone、iPod touch 、 および iPad に設定する方法は2つあります。デバイスが 
Microsoft Exchange アカウントにアクセスするように構成されている場合は 、 Exchange 
ActiveSync ポリシーがデバイスにワイヤレスでプッシュされます。これにより、ユーザが何も 
しなくても、ポリシーを適用してアップデートすることができます。 EAS ポリシーについては、 
8ぺージの「巧応している Exchange ActiveSync ポリシー」を参照してください。 

Microsoft Exchange を使用しない場合は、構成プロファイルを作成することによって、同様の 
ポリシーをデバイスに設定できます。ポリシーを変更したい場合は、アップデートしたプロファ 
イルをユーザに巧稿またはを信するか、 「 iPhone 構成ユーティリティ」を使用してプロファイル 
をインストールする必要があります。デバイス.パスコード-ポリシーについては、32ぺージ 
の「バスコード設定」を参 P , 負してください。 
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Microsoft Exchange を使用ずる場合は、構成ポリシーを使用することで、 EAS ポリシーを補完 
ずることもできます。こうずることで 、 Microsoft Exchange 2003で利用できないポリシーにア 
クセスしたり 、 iPhone 0 S デバイスき用のポリシーを定義したりできまず。 


デバイスを構成する 

各 iPhone、iPod touch 、 および iPad をどのように構成するかを決定する必要があります。これ 
は、今後どのくらいの数のデバイスを配備および管理ずる予定なのかによってある程度左右され 
ます。数が少ない場合は、デバイスを自分で手動で構成する方が簡単な場合があります。その場 
合、デバイスを使って、各メールアカウントの設定、 Wi - Fi 設定、および VPN 構成情報を入力す 
る必要がありまず。手動構成について詳しくは、第3章を参照してください。 

多数のデバイスを配備する場合や、メール設定、ネットワーク設定、およびインストールする証 
明書が大量にある場合は、構成プロファイルを作成して配信することによってデバイスを構成す 
ることをお勧めします。構成プロファイルを使用すれば、設定と認証情報がデバイスにすぐに読 
み込まれまず。一部の VPN および Wi - Fi 設定は、構成プロファイルを使用しなければ設定でき 
ません 。 Microsoft Exchange を使用しない場合は、構成プロファイルを使用してデバイス.パ 
スコード-ポリシーを設定ずる必要があります。 

構成プロファイルは暗号化して署名することができ、これにより特定のデバイスが外での使用を 
制限したり、プロファイルに含まれている設定を他の人が変更できないようにすることができま 
ず。また、プロファイルに対してデバイスにロックされているというマークを付けて、インス 
トール後は、すべてのデータのデバイスをワイプせずに（または、オプションで管理パスワード 
を使って）削除することはできないよラにずることができます。 

デバイスを手動で構成する場合も、構成プロファイルを使用する場合も、自分でデバイスを構成 
ずるのかまたはこの作業をユーザに委任するのかどラかも決定ずる必要があります。どちらを選 
おずるかは、ユーザの場所、ユーザが自分の IT 機器を管理できるかどラかに関連する会社の方 
針、および配備しようとしているデバイス構成の複雑さによって決まります。構成プロファイル 
は、大企業、遠隔地の従業員、または自分のデバイスを設定できないユーザに適しています。 

ユーザに自分でデバイスをアクティベーションしてほしい場合や、ユーザがエンタープライズア 
プリケーションをインス!ルまたはアップデートする必要がある場合は、各ユーザの Mac ま 
たは PC に 「 iTunesj がインス!—ルされている必要があります。 「 iTunes 」 は、 iPhoneOS の 
ソフトウェア.アップデートを実行するときにも必要になりまず。このため、ユーザに HTunesj 
を配信しないことを決定した場合は、その点を忘れないようにしてください。 HTunesj の配備 
については、第4章を参照してください。 
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無線での登録と構成 

登録とは、証明書の配信プロセスを自動化できるよラに、デバイスとユーザを認証するプロセス 
のことです。デジタル証明書には、ユーザに多くの利点があります。デジタル証明書を使用して、 
Microsoft Exchange ActiveSync , WPA 2 エンタープライズワイヤしスネットワーク、会社の 
VPN 接続などの重要なエンタープライズサービスへのアクセスを認証することができます。証明 
書べースの認証により、会社のネットワークにシームレスにアクセスするための VPN オンデマ 
ンドの使用も許可されます。 

無線登録機能を使用して会社の PKI (公開鍵インフラストラクチャ）の証明書を発行ずるほか、 
デバイス構成プロファイルを配備することもできまず。これにより確実に、会社のサービスに信 
頼されたユーザのみがアクセスずることでき、そのデバイスが作ポリシーに従って構成される 
ことになります。また、構成プロファイルは暗号化もロックもできるため、設定の削除や蜜要は 
できず、ほかのユーザと共有することはできません。これらの機能は、が下で説明する無線プロ 
セスで使用できます。また、管理コンピュータに接続されているときに、 「 iPhone 構成ユーティ 
リティ J を使用してデバイスを構成することによって使用することもできます。 「 iPhone 構成 
ユーティリティ」の使いかたについては、第2章を参照してください。 

無線での登録と構成の実装には、認証、ディレクトリ、および証明書サービスの開発と統合が必 
要です。このプロセスは標準の Web サービスを使用して配備することができ、適切な場所に配 
備した後、ユーザが安全で認証された方法でデバイスを設定できるよラになります。 

認証されている登録および構成プ□セスの概要 

このプロセスを実装するには、 HTTP 接続の許可、ユーザの認証、 mobileconfig プロファイル 
の作成、およびこのセクションで説明ずるプロセス全体の管理を巧う、独自のプ□ファイル配信 
サービスを作成ずる必要があります。 


SCEP (Simple Certificate Enrollment Protocol ) を使用してデバイス資格情報を発行するには、 
CA (認証局）も必要です。 PKI 、 SCEP 、 および関連トピックへのリンクについては、27ぺージ 
の「その他の参考資料 J を参照してください。 

次の図は、 iPhone が対応している登録と構成のプロセスを示していまず。 
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フェーズ 1 -登録を始める 


フロファイルサービス 



© 


サンフル 


デバイス 

情報要求 




必須属せ： UDID 、 

0S バージョン 、 IMEI 
チヤレンジトークン ： AnneJohnsonl 
麻答巧 URL: 

https://profiles.example.com 


サンフル 



フェーズ1 - 登録を始める：登録は、ユーザが 「 Safari 」 を使用して、作成したプロファイル配 
信サービスの URL にアクセスすることから始まりまず。この URL を SMS またはメールで配信で 
きます。図の手順1として示される登録要求は、ユーザの固有名を認証ずる必要があります。認 
証を基本認証のようにシンプルにしたり、既存のデイしクトリサービスに組み込むことができ 
まず。 


手順2では、サービスが応答して構成プロファイル （. mobileconfig ) を送信します。この応答 
では、構成プロセスをユーザごとにカスタマイズできるよラに、デバイスが次の返信で提供する 
必要のある属性のリストと、このプロセスの間ユーザの固有名を繰り越すことができるにずる事 
前共有キー（チヤレンジ）を指定しまず。サービスが要求できるデバイス属性は、 iPhone 0 S 
バージョン、デバイス ID ( MAC アドしス）、プロダクトタイプ （iPhone 3 GS は iPhone 2,1 を返し 
ます )、 IMEI (携帯電話 ID )、 およびに CID ( SIM 情報）です。 

このフエーズの構成プロファイルのサンプルについては、83ぺージの「フエーズ 1- サーバ応 
答のサンプル」を参照してください。 
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フェーズ 2 -デバイスの認証 



フェーズ 2 -デバイスの認証： ユーザがフェーズ1で受信したプロファイルのインス!ルを 
受け入れた後、デバイスは要求された属性を検索し、チャレンジ応答（指定されている場合）を 
追加し、組み込みの固有名（アップル発行の証明書）を使用して応答に署名し、それを HTTP 
Post を使用してプロファイル配信サービスに返信します。 

このフェーズの構成プロファイルのサンプルについては、84ぺージの「フェーズ2 ■デバイス応 
答のサンプル」を参照してください。 
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フェーズ 3 -デ八•イス証明書のインストール 


フロファイルサービス 



の 


サンフル 


RSA: 1024 

チャレンジ： AnneJohnsonI 
URL:http://ca.example.com/ 
getkey.exe 


応答用の鍵生成 
仕様をチヤレンジ 



I 


証明書発行 サービス 



フエー ズ 3- 証明書の インス! -- ル： 手順1では、プロファイル配信サービスが、鍵 （RSA 1024) 
を生成するために使用ずる仕様と 、 SCEP (SimpleCertificate Enrollment Protocol ) を使用し 
て証明書用にその鍵を返す場所について応答します。 

手順2では、 SCEP 要求は、要求を認証するために SCEP パケットからチヤレンジを使巧して、 
自動モードで処理する必要があります。 


手順3では、 CA がデバイスの暗号化証明書で応答します。 

このフエーズのサンプルの構成プロファイルについては、85ぺージの「フエーズ 3- SCEP 仕様 
によるサーバ応答のサンプル」を參照してください。 
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フェーズ 4 -デバイスの構成 


フロファイルサービス 



デバイス証明書を 
使って署名された 
デバイス属せ 


サンフル 


UDID 、0 S バージョン、 
IMEI 、 MAC アドレス 


© 



デバイス用に暗号化され、 

プロファイルサービスにより署名 
された . mobileconfig ファイル 



サンフル 


Exchange ポリシ ー 、 
VPN 設定、追加 
SCEP ペイ□-ド、 
メールアカウントなど 


フェーズ 4 - デバイスの構成： 手順1では、デバイスが、前のフェーズで CA から提供された暗 
号化証明書を使用して署名された、属性のリストを返信します。 

手順2では、プロファイルサービスは、自動的にインストールされている暗号化された 
. mobileconfig ファイルで応答します。プロファイルサービスが . mobileconfig ファイルに署名 
します。たとえば、その SSL 証明書をこの目的のために使用できます。 

一般設定に加えて、この構成プロファイルには適用したいェンタープライズポリシーを定義し、 
ユーザがデバイスから削除できないよラにロックされたプロファイルにする必要がありまず。構 
成プロファイルには、プロファイルがインス!ルされるときに実行される、 SCEP を使用した 
固有名の登録の追加要求を含ゆることができまず。 

同様に、 SCEP を使ってインス!ルした証明書の有効期限が切れていたり、何らかの理由で無 
効になっているときは、ユーザはプロファイルのアップデートを求められます。ユーザがその要 
求を承認すると、デバイスは前述のプロセスを繰り返して新しい証明書とプロファイルを取得し 
まず。 


このフエーズの構成プロファイルのサンプルについては、86ぺージの「フエーズ4 ■デバイス応 
答のサンプル」を参照してください。 
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その他の参考資料 

• IPSec VPN のデジタル証明書 PKI (https://cisco.hosted.jivesoftware.eom/docs/DOC-3592) 
• 公開鍵インフラストラクチャ （http://en.wikipedia.org/wiki/Publi し key-infrastructure) 

• IETFSCEP プロ トコル仕様 （http://www.ietf.org/intemet-drafts/draft-nourse-scep-18.txt) 

エンタープライズ内の iPhone、iPod touch、 および iPad に関するその他の情報と参考資料は、 
www.apple.com/ip/iphone/enterprise および www.apple.com/jp/ipad/business で入手でき 
まず。 
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構成プロファイルを作成ずる/配備 
ずる 
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構成プ□ファイルは、 iPhone 、 iPad 、 および iPod touch がエンター 
プライズシステムをどのように利用するかを定義します。 

構成プロファイルは XML ファイルであり、 iPhone、iPod touch 、 および iPad でエンタープラ 
イズシステムを利用するための、デバイスのセキュリティポリシーと制限、 VPN 構成情報、 Wi ¬ 
fi 設定、 メールとカレンダーのアカウント、および認証資格情報が含まれます。 

構成プロファイルは、 「 iPhone 構成ユーティリティ J を使用して USB でコンピュータに接続さ 
れているデバイスにインス! -- ルできます。または、メールや Web ぺージを使用して構成プロ 
ファイルを配信することもできます。ユーザがそのメールの添付ファイルを開いたり、デバイス 
上の 「 Safari 」 を使ってプロファイルをダウンロードしたりすると、インストール処理を開始す 
ることを求められます。 


構成プロファイルを作成および配信したくない場合は、デバイスを手動で構成することもできま 
す。詳しくは、第3章を参照してください。 





iPhone 構成ユーティリティについて 

「 iPhone 構成ユーティリティ」では、構成プロファイルの作成、暗号化、およびインストール、 
プロビジョニングプロファイルと承認されたアプリケーションの追跡とインストール、コンソー 
ルログなどのデバイス情報の取得を簡単に行うことができます。 「 iPhone 構成ユーティリティ」 
のインストーラを実行すると、このユーティリティカ、'、 MacOSX では「/アプリケーション/ 
ユーティリティ/」に 、 Windows では 「 Programs\iPhone Configuration UtilityVi にインス 
トールされます。 

「 iPhone 構成ユーティリティ」を開くと、仪下のようなウインドウが表示されまず。 



このウインドウのほとんどの内容は、サイドバーの項目を選択すると変わります。 

サイドバーにはライブラリが表示され、次の項目が表示されます： 

• デバイス：コンピュータに接続したことのある iPhone および iPod touch デバイスのリストが 
表示されます。 

• アプリケーション：コンピュータに接続されているデバイスにインストールできるアプリケー 
ションのリストが表示されます。プロビジョニングプロファイルは、アプリケーションをデバ 
イス上で実行ずるために必要になる場合がありまず。 

• プ□ビジョニングプ□ファイル：デバイスのプロファイル （ iPhone 0 S のために開発したもの 
を Apple Developer Connection によって承認された方法で使用することが許可されまず）の 
リストが表示されます。詳しくは、第5章を参照してください。プロビジョニングプロファイ 
ルにより、デバイスで 、 iTunes Store では配信されないエンタープライズアプリケーションを 
実行することもできます。 
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• 構成プ□ファイル：が前に作成した構成プロファイルのリストが表示されます。入力した情報 
を編集したり、ユーザに送信したり接続されているデバイスにインス!-ールできる新しい構成 
を作成したりできます。 


サイドパ'-には「接続済みデバイス」も表示されます。現在コンピュータの USB ポートに接続 
されている iPhone 0 S デバイスに関する情報が表示されまず。接続されているデバイスに関ず 
る情報はデバイスリストに自動的に追加されるため、デバイスを再接続しなくても何度でも見る 
ことができます。デバイスを接続した後は、そのデバイスのみで使巧するプロファイルを暗号化 
ずることもできます。 

デバイスが接続されている場合は、 「 iPhone 構成ユーティリティ J を使用して構成プロファイル 
とアプリケーションをデバイスにインス! -- ルできます。詳しくは、40ぺージの 「 iPhone 構成 
ユーティリティを使用して構成プロファイルをインストールする」、66ぺージの 「 iPhone 構成 
ユーティリティを使用してアプリケーションをインストールする」、および65ぺージの 「iPhone 
構成ユーティリティを使用してプロビジョニングプロファイルをインス!ルずる」を参照して 
ください。 

デバイスが接続されているときに、コンソールログとクラッシュログ（記録されている場合）も 
表示することができます。これらのデバイスログは、 MacOSX 上の Xcode 開発環境内で表示で 
きるものと同じログです。 


構成プ□ファイルを作成する 

このマニュアルでは、構成プ□ファイルとペイ□ードという用語を使用します。構成プロファイ 
ルとは、 iPhone、iPod touch 、 または iPad に特定（単一または複数）の設定を構成ずるファイ 
ル全体のことです。ペイロードとは、構成プロファイル内の特定のタイプの設定 ( VPN 設定な 
ど）の個々の集まりのことでず。 

組織に必要なすべてのペイロードを含む1つの構成プロファイルを作成することはできますが、 
各タイプの情報を別個にアップデートしたり配信できるよラに、証明書用に1つのプロファイル 
を作成し、その他の設定用に別の1つ（または複数）のプロファイルを作成することを検討して 
ください。また、ユーザが VPN またはアカウント設定が含まれる新しいプロファイルをインス 
卜ールするときに、すでにインストール済みの証明書を残しておくことができます。 

多くのペイロードでは、ユーザ名とパスワードを指定できます。この情報を省略した場合は、複 
数のユーザがプロファイルを使用できますが、プロファイルをインストールするとき、不足して 
いる情報の入力が求められます。プロファイルをユーザごとにカスタマイズし、パスワードを含 
める場合は、内容を保護するためにプロファイルを暗号化されたフォーマットで配信する必要が 
あります。詳しくは、40ぺージの「構成プロファイルをインストールずる」を参照してください。 
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新しい構成プロファイルを作成するには、 「 iPhone 構成ユーティリティ」のメニューバーで、 
「ファイル」>「新規構成プロファイル」と選択します。または、ライブラリから「構成プロファ 
イル」を選択し、ツールバーの「新規」ボタンをクリックします。ペイロードのリストを使用し 
て、プロファイルにペイロードを追加します。次に、編集パネルに表示されるオプションを入力 
したり選択ずることで、ペイロー ドを編集します。必須フィールドには赤い矢印が付いています。 
(iPhone Configuration Web Utility では表示されません。） W - Fi などの一部の設定では、「追加」 
(+ ) ボタンをクリックすることで構成を追加できます。構成を取り除くときは、編集パネルで 
「削除」（一）ボタンをクリックしまず。 

ペイロードを編集するには、ペイロードのリストで該当する項目を選択し、「構成 J ボタンをク 
リックしてから、が下の説明に従って情報を入力してください。 

構成プ□ファイルの作成を自動化ずる 

AppleScript ( Mac 上）または C # スクリプト （ Windows 上）を使用することで、構成ファイル 
の作成を自動化ずることもできます。対応しているメソッドとその構文を確認ずるには、次のよ 
ラにしてください： 

• Mac 0 S X :「スクリプトエディタ」を使って、 iPhone 構成ユーティリティ用の AppleScript 
用語説明を開きまず。 

• Windows : Visual Studio を使って、 iPCUScripting . dll が提供するメソッド呼び出しを表示し 
ます。 


スクリプトを実行するには、 Mac 上で AppleScript Tell コマンドを使用します。 Windows 上で 
は、スクリプト名をコマンド巧パラメータとして 「 iPhone 構成ユーティリティ J に渡します。 

例については、付録 C 「サンプルスクリプト J を参照してください。 

一般設定 

ここにはこのプロファイルの名前と識別子を入力し、ユーザがインストール後にプロファイルを 
削除できるかどラかを指定しまず。 


る巧 

ブロファイルのる示を（デバイス上に表示） 

I Example Contractor Profile 

KgiJ 子 

プロファイルの一雕 a 則子 （W ; com.company.profile} 
; com.example.profile.contractor 

mm 

フロフ 7 イルの！！ « を 
I Example Inc. 

巧巧 

フロフ 7 イルの内容や目的の 
Configuration profile for contract employees. 


セキュリティ 

プロファイルをいつ巧 0 接くかをが a しまず 
〔巧に巧巧 
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指定する名前は、プロファイルリストに表示され、プロファイルがインストールされた後のデバ 
イスに表示されます。一意の名前である必要はありませんが、プロファイルを識別できる分かり 
やすい名前を使用することをお勧めします。 


プロファイル識別子は、このプロファイルを一意に識別できるものでなければなりません。また、 
com . companyname . identifier フォーマットを使用する必要があります。 ident げ ier がプロファ 
イルになります。（例： com . mycompany . homeoffice ) 

識別子は重要でず。プロファイルをインストールするときに、値がデバイス上の既をのプロファ 
イルと比較されるためです。識別子が一意の場合は、プロファイル内の情報がデバイスに追加さ 
れます。識別子がすでにインストール済みのプロファイルと一致する場合、 Exchange 設定の場 
合を除いて、プロファイル内の情報によってすでにデバイス上にある設定が置き換えられます。 
Exchange アカウントを変更するには、アカウントに関連ずるデータを消去できるように、最初 
にプロファイルを手動で削除する必要がありまず。 

ユーザがデバイスにインストールされているプロファイルを削除できないようにするには、「セ 
キュリティ」ポップアップメニューからオプションを選択します。「認証時 J オプションでは、デ 
バイス上のプロファイルの削除を許可するための認証パスワードを指定できまず。「なし」オプ 
ションを指定した場合、プロファイルを新しいバージョンにアップデートすることはできます 
が、削除ずることはできません。 

パスコー ド設定 

Exchange パスコードポリシーを使用しない場合は、このペイロードを使用してデバイスポリ 
シーを設定しまず。デバイスを使用するときにパスコードを要求するかどラかを指定したり、パ 
スコードの特性や変更頻度を指定することもできます。構成プロファイルが読み込まれた直後 
に、ユーザは設定済みポリシーに準拠したパスコードの入力を求められまず。入力しない場合は、 
プロファイルはインストールされません。 

デバイスポリシーと Exchange パスコードポリシーを使巧する場合は、2 つの ポリシーが結合され、 
厳しい方の設定が適用されます。対応している Exchange ActiveSync ポリシー について は、8ぺ一 
ジの 「Microsoft Exchange ActiveSyncj を参照して ください。 

が下のポリシーを設定できます： 

• デバイスのパスコードが必要：デバイスを使用する前に、パスコードを入力することをユー 
ザに要求しまず。入力しない場合は、そのデバイスを手にするすべての人がその機能とデータ 
にアクセスできまず。 

• 単純値を許可：パスコードに連続ずる文字や反復する文宇を使巧することをユーザに許可し 
ます。たとえば、「3333」や 「 DEFG 」 のようなパスコードが許可されまず。 

• 英数字の値が必要：パスコードに少なくとも1つの英字を含める必要があります。 

• 最小のパスコード長：パスコードの最小义宇数を指定しまず。 

• 複合文字の最小数：パスコードに必要な英数字が外の文字な、&、および!）の数。 

. パスコードの有効期限（曰数）：指定した間隔でユーザがパスコードを変更することを要求し 
ます。 
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• 自動□ック（分数設定）：デバイスがこの期間使用されない場合は、自動的にロックされます。 
パスコー ドを入力ずると、ロック解除されます。 

• 失敗再試行の最大数：デバイスがワイプされるまでに試行できるパスコード誤入力の回数を 
決定します。この設定を変更しない場合は、パスコードの入力に6回失敗ずると、一定の時間 
が経過するまでパスコードを入力できなくなりまず。待機時間は、入力に失敗するたびに長く 
なります。入力に11回失敗すると、ずべてのデータと設定がデバイスから安全に消去されま 
す。パスコードの入力に6回失敗した後は、常に一定の時間が経過するまで入力できない状態 
になります。つまり、この値を6が下に設定した場合は、入力できない時間がなくなり、設定 
した値を超えるとずぐにデバイスが消去されることになりまず。 

• パスコードの履歴：新しいパスコードがが前に使用したパスコードと一致した場合、そのパ 
スコードは受け入れられません。が前のパスワードと比較できるよラ、記憶ずるが前のパス 
コードの数を指定できます。 

• デバイスの□ックの猶予期間：パスコードの再入力を求めずに、使用後どれくらいでデバイ 
スのロックを解除できるかを指定します。 

制限の設定 

ユーザが使巧できるデバイス機能を指定するには、このペイロードを使用します。 

• 露骨な内容を許可：これをオフにすると 、 iTunes Store から購入した露骨な内容の音楽やビデ 
才が隠されまず。露骨な内容は 、 iTunes Store から販売されるときに、しコード会社などのコ 
ンテンツプロバイダによって露骨な内容として指定されています。 

•「 Safarij の使用を許可：このオプションをオフにずると 、 Safari Web ブラウザアプリケーショ 
ンは無効になり、アイコンがホーム画面から削除されます。ユーザが Web クリップを開くこ 
ともできなくなります。 

• YouTube の使用を許可：このオプションをオフにずると、 YouTube ブラウザアプリケーショ 
ンは無効になり、アイコンがホーム画面から削除されます。 

• iTunes Music Store の使用を許巧：このオプションをオフにずると 、 iTunes Music Store は 
無効になり、アイコンがホーム画面から削除されます。ユーザはコンテンツをプしビュー、購 
入、およびダウンロードできません。 

• アプリケーションのインス!ルを許可：このオプションをオフにすると、 AppStore は無効 
になり、アイコンがホーム画面から削除されます。ユーザはアプリケーションをインストール 
またはアップデートできません。 

• カゾラの使巧を許可：このオプションをオフにすると、カメラは完全に無効になり、アイコ 
ンがホーム画面から削除されます。ユーザは写真を撮ることはできません。 

. 画面の取り込みを許可：このオプションをオフにすると、ユーザはディスプレイのスクリーン 
シヨットを保をできません。 
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Wi - Fi 設定 

デバイスをワイヤレスネットワークに接続する方法を設定するときは、このペイロードを使用し 
ます。編集パネルで「追加」 （+) ボタンをクリックすることで、複数のネットワーク構成を追 
加できます。 


ューザが接続を開始するには、これらの設定が指定されていて、ネットワークの要件を満たして 
いる必要があります。 

• サービスセット識別子：接続先のワイヤしスネットワークの SSID を入力します。 

. 非公開ネットワーク：ネットワークからその識別子をブロードキャストするかどうかを指定 
しまず。 

• セキュリティの種類：ネットワークの認証方法を選択します。が下のオプションは、パーソ 
ナルネットワークとエンタープライズネットワークの両方で選択できます。 

•なし：認証を使巧しません。 

• WEP : WEP 認証のみを使用します。 

• WPA/WPA 2 : WPA 認証のみを使用します。 

• Any ： ネットワークに接続するときに WEP または WPA 認証を使用します。ただし、認証さ 
れていないネットワークには接続しません。 

• パスワード：ワイヤレスネットワークに接続ずるためのパスワードを入力します。これを空 
白のままにしておくと、ユーザにパスワードの入力が求められまず。 

エンタープライズ設定 

このセクションでは、エンタープライズネットワークに接続するための設定を指定します。これ 
らの設定は、「セキュリティの種類」ポップアップメニューで「エンタープライズ設定」を選択 
したときに表示されます。 

「プロトコル」タブでは、「受け入れた EAP の種類」を指定し、 EAP-FAST PAC (Protected Access 
Credential ) 設定を構成します。 

「認証」タブでは、ューザ名や認証プロトコルなどのサインイン設定を指定します。「資格情報」 
セクションを使用して固有名をインストールした場合は、「固有名証明書 J ポップアップメニュー 
からその固有名証明書を選択できます。 

「信頼」タブでは、 Wi - Fi 接続用の認証サーバを検証ずるために、どの証明書を信頼できる証明書 
として扳ラかを指定します。「信頼できる証明書」リストには、「資格情報」タブを使用して追加 
した証明書が表示され、信頼できる証明書として破う証明書を選択できます。信頼できる認証 
サーバの名前を「信頼できるサーバ証明書の名前 J リストに追加しまず。特定のサーバ 
( server . mycompany . com など）または一部の名前じ mycompany . com など）を指定できまず。 

「信頼例外を許可 J オプションでは、信頼チェーンを確立できないときでも、ューザがサーバを 
信頼するかどうかを決定することを許可できまず。このよラな確認画面が表示されないようにし 
て、信頼できるサービスだけに接続することを許可ずるときは、このオプションを無効にして、 
必要な証明書をすべてプロファイルに埋め込んでください。 
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VPN 設定 

ネットワークに接続するための VPN 設定を入力するときは、このペイロードを使用します。「追 
加」 （+) ボタンをクリックすることで、複数の VPN 接続を追加できます。 

巧応している VPN プロトコルと認証方法については、10ぺージの 「 VPNj を参照してくださし、。 
選択できるオプションは、選択したプロトコルと認証方法によって異なりまず。 

VPN オンデマンド 

証明書べースの IPSec 構成では、特定のドメインにアクセスすると VPN 接続が自動的に確立さ 
れるよラに、 VPN オンデマンドをオンにずることができます。 

田 ! オンデ 7 ンド VPN モ巧巧にする 
VPN をな立するドメインとホストのを巧 



因日 


VPN オンデマンドのオプションはが下の通りでず： 



常に確立 


指定したドメインに一致するアドレスがある場合は、そのための VPN 接続 


を開始します。 


確立しない 指定したドメインと一致するアドしスがあっても、そのための VPN 接続は 

開始しません。ただし、 VPN がすでにアクティブの場合は、それが使巧さ 
れることがあります。 


必要に応じて確立 DNS ルックアップが失敗した後でのみ、指定したドメインと一致するアド 

レスで VPN 接続を開始します。 


この動作は、一致するすべてのアドレスに適用されます。アドレスの比較には、末尾から先頭方 
向への単純な文き列一致が使巧されます。アドしス 「.example.orgj は、 「support.example.org」 
や 「sales.example.org」 と一致します力《、 「www.private-example.org」 とは一致しません。た 
だし、一致するドメインを 「example.com」 と指定した場合は（先頭にピリオドがないことに 
注目してください）、 「www.private-example.com」 などとも一致します。 

LDAP 接続は VPN 接続を開始しないことに注意してください。 VPN が 「 Safari 」 などの別のアプ 
リケーシヨンによってすでに確立されてない場合、 LDAP ルックアップは失敗します。 


VPN プロキシ 

iPhone は、手動の VPN プロキシと、 PAC または WPAD を使用した自動プロキシ構成に対応し 
ています。 VPN プロキシを指定するときは、「プロキシ設定」ポップアップメニューからオプシヨ 
ンを選択します。 
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PAC ベースの自動プロキシ構成の場合、ポップアップメニューから「自動」を選択し、 PAC ファ 
イルの URL を入力します。 PACS 機能とファイルフオーマットについては、56ぺージの「その 
他の参考資料」を参照してください。 

WPAD ( Web プロキシ自動検出）構成の場合、ポップアップメニューから「自動 J を選択しま 
ず。「プロキシサーバの URL 」 フィールドは空のままにします。 iPhone で DHCP と DNS を使用 
して WPAD ファイルが要求されます 。 WPAD について は、56ぺージの「その他の参考資料」を 
参照してください。 

メール 設定 

ユーザの POP または IMAP メールアカウントを構成するときは、このペイロードを使用しまず。 
Exchange アカウントを追加する場合は、次の 「 Exchange 設定」を参照してください。 

プロファイルに指定したメール設定の一部（アカウント名、パスワード、および代替 SMTP サー 
パ'など）は、ユーザが変更できます。プロファイルにこれらの情報を入力しなかった場合は、ユー 
ザがアカウントにアクセスずるときにその情報の入力が求められまず。 

「追加」 （+ ) ボタンをクリックすることで、複数のゾールアカウントを追加できまず。 

Exchange 設定 

ユーザの Exchange サーバ設定を入力するときは、このペイロードを使用します。ユーザ名、ホ 
スト名、およびメールアドレスを指定ずることで、そのユーザのプロファイルを作成できます。 
ホスト名だけを指定した場合は、ユーザがプロファイルをインストールずるときにほかの値の入 
力を求められまず。 

プロファイルにユーザ名、ホスト名、および SSL 設定を指定した場合は、ユーザはデバイス上で 
これらの設定を蜜更できなくなります。 

各デバイスで構成できる Exchange アカウントは1つだけです。 IMAP を介した Exchange アカ 
ウントなどのその他のメールアカウントは、 Exchange アカウントを追加しても影響されません。 
プロファイルを使用して追加された Exchange アカウントは、そのプロファイルを削除したとき 
に削除されます。それ臥外の場合は削除できません。 

デフオルトでは、 Exchange の連絡先、カレンダー、およびメールが同期されます。ユーザはデ 
バイス上でこれらの設定（何日分のデータを同期するかなど）を「設定 J >「メール/連絡先/ 
カレンダー」>「アカウント」と移動して蜜要できます。 

「 SSL を使用」オプションを選択する場合は、「資格情報」パネルを使用して、接続を認証するた 
めに必要な証明書を必ず追加してください。 

ユーザを識別する証明書を Exchange ActiveSync Server に提供するには、「追加 j ( + ) ボタン 
をクリックし 、 Mac OS X のキーチェーンまたは Windows の証明書ストアから固有名証明書を 
選択しまず。証明書を追加した後に、認証資格情報名を指定できます （ ActiveSync 構成に必要 
な場合）。構成プロファイルに証明書のパスフしーズに埋め込むこともできまず。パスフしーズ 
を埋め込まない場合は、ユーザはプロファイルのインストール時にパスフレーズの入力を求めら 
れます。 
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LDAP 設定 

LDAPvB ディレクトリに接続するための設定を入力するには、このペイロードを使用します。ディ 
しクトリごとに複数の検索べースを指定できます。また、「追加 J ( + ) ボタンをクリックするこ 
とで、複数のディしクトリ接続を構成できます。 

「 SSL を使用」オフションを選巧する場合は、「資格情報」パネルを使用して、接続を認証するた 
めに必要な証明書を必ず追加してください。 

Ca に AV 設定 

CalDAV 準拠のカレンダーサーバに接続するためのアカウント設定を提示するには、このペイ 
口ードを使用します。これらのアカウントはデバイスに追加されます。 Exchange アカウントと 
同様に、プロファイルをインストールするときにプロファイルに入力しなかった情報（アカウン 
トパスワードなど）は、ユーザが手動で入力する必要があります。 

「 SSL を使用」オフションを選巧する場合は、「資格情報」パネルを使用して、接続を認証するた 
めに必要な証明書を必ず追加してください。 

「追加」 （+ ) ボタンをクリックすることで、複数のメールアカウントを設定できます。 

照会ずるカレンダーの設定 

デノくイスのカレンダーアプリケーシヨンに読み取り専用の照会カレンダーを追化するには、この 
ペイロードを使用します。「追加」 （+ ) ボタンをクリックすることで、複数の登録を設定できます。 

照会できる公開カレンダーのリストについては、 
www . apple . com / downloads / macosx/calendars を参照してく ださい。 

「 SSL を使用」オプションを選択する場合は、「資格情報」パネルを使用して、接続を認証するた 
めに必要な証明書を必ず追加してください。 

Web クリップ設定 

ユーザのデバイスのホーム画面に Web クリップを追加するには、このペイロードを使用します。 
Web クリップにより、よく使う Web ぺージにすばやくアクセスできます。 

入力する URL には接頭巧 http :// または https :// を必ず付けてください。これは、 Web クリッ 
プを正しく機能させるために必要です。たとえば、オンライン版の 「 iPhone ユーヴガイド J を 
ホーム画面に追力日するときは、 Web クリップの URL : http :// help . apple . com / iphone / を指定し 
ます。 


独自のアイコンを追加するときは、 gif 、 jpeg 、 または png フォーマットの、サイズが 59 x 60 
ピクセルのグラフィックファイルを還択します。イメージは、自動的にサイズ調整され、必要に 
応じて png フオーマツトに変換されます。 
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資格情報の設定 

デバイスに証明書と固有名を追加するときは、このペイロードを使用します。対応している 
フォーマットについては、11ぺージの「証明書と固有名」を参照してください。 

資格情報をインストールするときに、デバイス上にある信頼された証明書へのチてーンを確立す 
るために必要な中間証明書もインストールしてください。インストール済みのルートのリストに 
ついては、アップルのサポート記事 ( http :// support . apple . com / kb / HT 2185? viewlocale = ja _ JP ) 
を参照してください。 

Microsoft Exchange で使用ずる固有名を追加する場合は、代わりに Exchange ペイロードを使 
用してください。36ぺージの 「 Exchange 設定」を参照してください。 

MacOSX で資格情報を追加ずる： 

1 「追加」 （+ ) ボタンをクリックしまず。 

2 表示されるファイルダイアログで、 PKCS 1 ファイルまたは PKSC 12 ファイルを選択し、「開く」を 
クリックします。 

証明書または固有名をキーチェーンにインストールしたい場合は、「キーチェーンアクセス J を 
使用して . p 12 フォーマットで書き出します。「キーチェーンアクセス」は「/アプリケーション/ 
ユーテイリテイ」にあります。ヘルプについては、「キーチェーンアクセス J を開いているとき 
に、「ヘルプ」メニューから「キーチェーンアクセスヘルプ」を参照してください。 

構成プロファイルに複数の資格情報を追加するには、もラー度を「追加 J (+) ボタンをクリッ 
クします。 


Windows で資格情報を追加する： 

1 「追加」 （+ ) ボタンをクリックしまず。 

2 Windows 証明書ストアからインストールしたい資格情報を選択します。 

個人用証明書ストアにある資格情報は、使用可能でない場合は追加ずる必要があり、秘密鍵を書 
き出し可能と指定する必要があります。これは、証明書のインポートウィザードで提示される手 
順の1つです。ルート証明書を追加するにはコンピュータへの管理アクセスが必要であり、証明 
書を個人用ストアに追加する必要があることに注意してください。 

複数の構成プロファイルを使巧ずる場合は、証明書が複製されないようにしてください。同じ証 
明書の複数のコピーをインス I -ールすることはできません。 

構成プロファイルを使って証明書をインス!ルする代わりに、ユーザが 「 Safarij を使用して 
Web ページから証明書をデバイスに直接ダウンロードずることを許可できます。証明書をユー 
ザにメールで送信することもできます。詳しくは、55ページの「固有名とルート証明書をイン 
ストールする」を参照してください。また、 SCEP 設定（が下を参照）を使用して、プロファイ 
ルをインス I -ールするときに無線で証明書を取得する方法を指定します。 
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SCEP 設定 

SCEP ペイロードでは、デバイスで SCEP (SimpleCertificate Enrollment Protocol ) を使用し 
て CA から証明書を取得するための設定を指定できまず。 


1設定 

説明 1 

URL 

これは SCEP サーバのアドしスでず。 

名前 

これは、認証局が辭釈する文字列にすることができ、たとえばインスタン 
ス間の区別に使用できます。 

サブジェクト 

0 ID および値の配列として表される X . 500名の表現。たとえば、 7 C = US / 
0 =Apple lnc ./ CN = foo /1.2.5.3= barj です。これはが下のように変換され 
まず： 

[[[" CV ' US "] ], [ ["OVApple Inc "]] ，…, [ ["1.2.日. 3", " bar "]]] 

チヤしンジ 

SCEP サーバが要求またはユーザを識別するために使用できる事前共有 
シークしット。 

鍵のサイズと使用法 

鍵のサイズと、このフイールドの下のチェックボックスを使巧して鍵の使 
用条件を選択します。 

フインガープリント 

HTTP を使巧する認証局の場合は、このフイールドを使って CA の証明書の 
フインガープリントを渡します。デバイスは登録処理中にこれを使って CA 
の応答の真正性を確認しまず。5りみ1または MD 5 フインガープリントを入 
力ずるか、証明書を選択してその署名を読み込むことができます。 


iPhone で証明書をワイヤレスで取得する方法については、22ぺージの「無線での登録と構成」 
を参照してください。 


詳細設定 

詳細ペイロードでは、デバイスの APN (アクセスポイント名）とバケット通信のプロキシ設定 
をを更できます。これらの設定には、デバイスからキヤリアのネットワークに接続する方法を定 
養します。これらの設定は、キヤリアのネットワーク技術者から指示があった場合にのみを更し 
てください。これらの設定が正しくない場合は、デバイスからバケット通信を使用してデータに 
アクセスすることはできません。これらの設定が誤って変更された場合に、それらを取り；'肖すと 
きは、デバイスからそのプロファイルを削除してください。 APN 設定は、ほかの エン タープラ 
イズ設定とは異なる構成プロファイル内に定義することをお勧めします。 APN 情報を指定する 
プロファイルは、携帯電話サービスプロバイダの署名を受ける必要があるためです。 

iPhoneOS は、最大20文字の APN ユーザ名と、最大32文きのバスワードに対応しています。 


構成プ□ファイルを編集する 

「 iPhone 構成 ユー ティリティ」では、構成プロファイルリストでプロファイルを選択し、 ペイ 
口ードリストと編集パネルを使って変更を行います。「ファイル」>「ライブラリに追加」と選 
択して . mobileconfig ファイルを選巧することによって、プロファイルを読み込むこともできま 
す。設定バネルが表示されていない場合は、「表示 J >「詳細情報を表示 J と選択します。 
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デバイスの「一般 J ペイロードの「識別子」フィールドは、新しいプロファイルなのか既存のプ 
ロファイルへのアップデートなのかを判別するために使用しまず。ユーザが权前にインストール 
したプロファイルをアップデートされたプロファイルで置き換えたい場合は、識別子を変更しな 
いでください。 

プロビジョニングプロファイルおよびアプリケーションをインス 
卜 一 J レする 

「 iPhone 構成ユーティリティ」では、コンピュータに接続されているデバイス上にアプリケー 
ションと配信プロビジョニングプロファイルをインストールできまず。詳しくは、63ぺージの 
第5章「アプリケーションを配備ずる」を参照してください。 

構成プ□ファイルをインストールする 

プロファイルを選択したら、デバイスを接続し、 「 iPhone 構成ユーティリティ J を使用してプロ 
ファイルをインストールすることができます。 

または、メールでプロファイルをユーザに配信したり、 Web ページに投稿することによって配 
信ずることもできます。ユーザがデバイスを使ってメールメッセージを開いたとき、または 
Web からプロファイルをダウンロードしたときに、インストール処理を開始することを求めら 
れます。 


iPhone 構成ユーティリティを使巧して構成プロファイルをインス!ルずる 

構成プロファイルは、 iPhone 0 S 3.0 が降にアップデート済みでコンピュータに接続されている 
デバイス上に、直接インス!ルできまず。 「 iPhone 構成ユーティリティ」を使用して、が前に 
インストールしたプロファイルを削除することもできます。 

構成プ□ファイルをインス!—ルずるには： 

1 USB ケーブルを使って、デバイスをコンピュータに接続します。 

しばらくすると、 「 iPhone 構成ユーティリティ」のデバイスリストにデバイスが表示されます。 
2 デバイスを選択して、「構成プロファイル」タブをクリックします。 

3 リストから構成プロファイルを選択して、「インストール J をクリックしまず。 

4 デバイスで「インストール」をタップして、プロファイルをインストールしまず。 


USB を使用してデバイス上に直接インス I -ールすると、構成プロファイルは、デバイスに転送さ 
れる前に自動的に署名されて暗号化されます。 

構成プロファイルをメールで配信ずる 

メールを使って構成プロファイルを配信することができます。ユーザは、デバイスでメッセージ 
を受信し、添付ファイルをタップしてインストールすることによって、プロファイルをインス 
トールしまず。 

構成プロファイルをメール送信ずるには： 

1 「 iPhone 構成ユーティリティ」ツールバーの「共有 j ボタンをクリックします。 
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表示されるダイアログで、セキュリティオプションを選択します： 


a なし：標準テキストの . mobileconfig ファイルが作成されます。任意のデバイス上にインス 
トールできまず。ファイル巧の内容の一部は、ファイルが調べられた場合の情報の漏盛を防ぐた 
めに暗号化されます。 

b 構成プ□ファイルに署名： . mobileconfig ファイルは署名されます。変更を加えると、デバイ 
スにはインストールされなくなりまず。一部のフィールドは、ファイルが調べられた場合の情 
報の漏洩を防ぐために暗号化されまず。インストールされたプロファイルをアップデートでき 
るのは、同じ識別子を持ち、 「 iPhone 構成ユーティリティ」の同じコピーによって署名された 
プロファイルのみになります。 

C プ□ファイルに署名して暗号化：プロファイルに署名して変更できないよラにし、内容をす 
ベて暗号化して、プロファイルを調べることができず、特定のデバイスにインストールするこ 
としかできないよラにします。プロファイルにパスワードが含まれている場合は、このオプ 
シヨンが推巽されまず。デバイスリストから選択ずるデバイスごとに、別個の . mobileconfig 
ファイルが作成されます。リストに表示されないデバイスは、暗号化鍵を取得できるよラにが 
前にコンピュータに接続されていなかったデバイスか 、 iPhone 0 S 3.0 が降にアップグしード 
されていなかったデバイスでず。 

2 「共有」をクリックずると、 「 Mail」(Mac OS X )または 「 Outlook 」( Windows ) の新しいメッ 
セージが開きまず。追加したプロファイルは圧縮されていない添付ファイルとして表示されま 
す。プロファイルを認識してインストールするには、このファイルをデバイス用に圧縮解除する 
必要があります。 


構成プ□ファイルを Web 上に配信ずる 

Web サイトを使って構成プロファイルを配信することができます。ユーザは、デバイス上の 

「 Safari 」 を使用してダウンロードずることによって、構成プロファイルをインストールします。 

ユーザに URL を簡単に配信するには、 SMS 経由で送信しまず。 

構成プロファイルを書き出ずには： 

1 「 iPhone 構成 ユー ティリティ」 ツールバーの 「書き出ず j ボタンをクリックします。 

表示されるダイアログで、セキュリティオプションを選択しまず： 

a なし：標準テキストの . mobileconfig ファイルが作成されます。任意のデバイス上にインス 
トールできまず。ファイル内の内容の一部は、ファイルが調べられた場合の情報の漏活を防ぐ 
ために暗号化されます。ただし、ファイルを Web サイト上に置くときは、必ず認証されたユー 
ザしかアクセスできないようにしてください。 

b 構成プ□ファイルに署名： . mobileconfig ファイルは署名されます。変更を加えると、デバイ 
スにはインストールされなくなりまず。インストールされたプロファイルをアップデートでき 
るのは、同じ識別子を持ち、 「 iPhone 構成ユーティリティ」の同じコピーによって署名された 
プロファイルのみになります。ファイル内の情報の一部は、ファイルが調べられた場合の情報 
の漏通を防ぐたゆに暗号化されまず。ただし、ファイルを Web サイト上に置くときは、必ず 
認証されたユーザしかアクセスできないようにしてください。 
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c プ□ファイルに署名して暗号化：プロファイルに署名して変更できないよラにし、内容をす 
ベて暗号化して、プロファイルを調べることができず、特定のデバイスにインストールするこ 
としかできないよラにしまず。デバイスリストから遵択するデバイスごとに、別個の 
.mobileconfig ファイルが作成されます。 

2 「書き出す」をクリックして、 .mobileconfig ファイルを保存ずる場所を選択しまず。 

ファイルは Web サイト上に投稿できる状態になりまず。 .mobileconfig ファイルは圧縮したり 
拡張子を変更したりしないでください。デバイスでプロファイルが認識またはインストールされ 
なくなりまず。 

ダウン□—ドした構成ファイルのユーザによるインス!ル 

ユーザがデバイス上にプロファイルをダウンロードするための URL をユーザに知らせるか、ま 
たはユーザがデバイスを使ってアクセスできるメールアカウントにプロファイルを送信したら、 
エンタープライズ固有の情報を設定できる状態になります。 

ユーザがプロファイルを Web からダウンロードしたり、「メール J を使用して添付ファイルを開 
いたりすると、拡張子. mobileconfig がデバイスによりプロファイルとして認識され、ユーザが 
「インストール J をタップするとインストールが始まります。 



インストール中に、ユーザは必要な情報の入力を求められます（プロファイルに指定されていな 
いパスワードなど、管理者が指定した設定に必要なその他の情報)。 

デバイスには、サーバから ExchangeActiveSync ポリシーが取り込まれます。ポリシーが蜜要 
されている場合は、接続のたびに更新されます。デバイスまたは Exchange ActiveSync ポリシー 
に よって パスコー ド設定が適用される場合は、 ユーザはポリシーに準拠ずるパスコードを入力し 
ないとインストールを完了できません。 

さらに、ユーザはプロファイルに含まれている証明書を使用するために必要なパスワードを入力 
ずることを求められます。 


第2章 構成プロファイルを作成ずる/配備ずる 












インストールが正常に完了しない場合は、 Exchange サーバに接続できなかったか、またはユー 
ザが処理をキャンセルした可能性があります。そのよラな場合、ユーザが入力した情報は保持さ 
れません。 


ユーザは、何日分のメッセージをデバイスに同期するか、または受信ボックスが外にどのメール 
フォルダを同期するかを変更ずることができます。デフォルトは3曰分とすべてのフォルダで 
す。ユーザは「設定」>「メール/連絡先/カレンダー」> 「 Exchange アカウント名」と選択 
ずることで、これらを変更できます。 


構成プロファイルを取り除く/アップデートする 

構成プロファイルのアップデートはユーザにプッシュされません。アップデートしたプロファイ 
ルをインス I ルするには、そのユーザに配信しまず。プロファイル識別子が一致している場合、 
さらに署名済みの場合は 「 iPhone 構成ユーティリティ」の同じコピーによって署名されている 
場合、新しいプロファイルによってデバイス上のプロファイルが置き換えられまず。 

構成ファイルによって適用される設定は、デバイス上で蜜更できません。設定を変更ずるには、 
アップデートされたプロファイルをインストールする必要がありまず。プロファイルが署名され 
た場合、それを置き換えることができるのは 「 iPhone 構成ユーティリティ」の同じコピーによっ 
て署名されたプロファイルのみになります。アップデートしたプロファイルが置き換えとして認 
識されるよラにずるためには、両方のプロファイル内の識別子が一致する必要があります。識別 
子については、31ぺージの「一般設定」を参照してください。 

重要： 構成プロファイルを取り除くと、ポリシー、デバイス上に保をされている Exchange アカ 
ウントのすべてのデータ、およびプロファイルに関連付けられている VPN 設定、証明書、メー 
ルメ ッセージなどのその他の情報が取り除かれます。 
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プロファイルの一般設定ペイロードで、ユーザによる削除ができないと指定した場合、「削除」ボ 
タンは表示されなくなります。設定が認証パスワードを使用した削除を許可する場合、ユーザは 
「削除」をタップした後にパスワードの入力をボめられます。プロファイルのセキュリティ設定 
について は、31ぺージの「一般設定」を参照してください。 
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デバイスを手動で構成ずる 
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この章では、 iPhone、iPod touch 、 および iPad を手動で構成する方 
法について説明します。 

自動構成プロファイルをユーザに提供しない場合は、ユーザはデバイスを手動で構成することに 
なります。バスコードポリシーなどの一部の設定は、構成プロファイルを使巧しないと設定でき 
ません。 


VPN 設定 

VPN 設定を変更するときは、「設定」>「一般」>「ネットヮーク J > 「 VPN 」 と移動します。 

VPN 設定を構成するときは、 VPN サーバから返された情報を基にしてデバイスに設定を入力す 
ることをボめられます。たとえば、サーバが RSA SecurlD I クンを必要とする場合は 、 RSA 
SecurlD トークンを入力する必要がありまず。 

証明書ベースの VPN 接続を構成するときは、対応する証明書がデバイスにインストールされて 
いる必要があります。詳しくは、55ページの「固有名とルート証明書をインストールする J を 
参照してください。 

VPN オンデマンドはデバイス上では構成できず、構成プロファイルを使用して設定する必要があ 
ります。35ぺージの 「 VPN オンデマンド」を参照してください。 

VPN プ□キシ設定 

ずべ ての 構成用に1 つの VPN プロキシを指定することもできます。すべての接続に1 つの プロ 
キシを構成するには、「手動 J をタップし、必要に応じてアドレス、ポート、および認証を指定 
します。デバイスに自動プロキシ構成ファイルを提供するには、「自動」をタップして PACS ファ 
イルの URL を指定します。 WPAD を使用して自動プロキシ構成を指定するには、「自動」をタッ 
プします。デバイスが WPAD 設定用の DH びと DNS を照会しまず。 PACS ファイルのサンプル 
と参考資料については、この章の最後にある「その他の参考資料 J を参照してください。 
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Cisco IPSec 設定 

Cisco IPSec VPN をデバイスに手動で構成ずるときは、次のよラな画面が表示されます： 



キャンセル Appleseed IPSec > 占を * 


111111111 

CISCO 


説明 

Appleseed IPSec 

サーバ 

vpn3.apple.com 

アカウント 

jappleseed 

パスワード ••••••••• 

亞明書を巧巧 

グループを 

WWPM-vpn 



次の表を使って、入力する設定と情報を確認してください： 


1 フイールド 

説明 1 

説明 

これらの設定を説明するタイトル。 

サーバ 

接続ずる VPN サーバの DNS 名または IP アドしス。 

アカウント 

ユーザの VPN ログインアカウントのユーザ名。グループ名をこのフイール 
ドに入力しないでください。 

バスワード 

ユーザの VPN ログインアカウントのバスフしーズ 。 RSA SecurlD および 
CryptoCard 認証の場合、またはユーザが接続しよラとずるたびにバスワー 
ドを手動で入力ずることを求める場合は、空白のままにします。 

証明書を使用 

リモートアクセスのためにプ□ビジョニングされた証明書とその証明書の 
秘密鍵が含まれた .P 口または. pfx 固有名をインス]-ールした場合にだけ構 
成できます。「証明書を使巧 J がオンのときは、「グループ名」および「共 
有シークレット」フイールドは「固有名」フイールドになり、インストー 
ル済みの VPN 互換の固有名のリストから選択します。 

グループ名 

ユーザが割り当てられているグループの名前。 VPN サーバに定義されてい 

ます。 

シークレット 

グループの共有シークレット。ユーザが割り当てられているグループのす 
ベてのメンバーに共通です。これはユーザのパスワードではありません。接 
続を開始するときに指定する必要がありまず。 
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PPTP 設定 

PPTPVPN をデバイスに手動で構成ずるときは、次のような画面が表示されます： 



石ン セル J 構成を追加 m 



次の表を使って、入力する設定と情報を確認してください： 


1フイールド 

説明 1 

説明 

これらの設定を説明するタイトル。 

サーバ 

接続ずる VPN サーバの DNS 名または IP アドしス。 

アカウント 

ユーザの VPN ログインアカウントのユーザ名。 

RSA SecurlD 

RSA SecurlD 1クンを使用する場合は、このオプションをオンにします。 
すると「パスワード J フィールドが隠されます。 

バスヮード 

ユーザの VPN ログインアカウントのパスフレーズ。 

暗号化レベル 

デフォルトは「自動 J でず。その場を、利巧できる暗号化レベルのうち、最 
も高いしべルが選択されまずり28ビット、40ビット、または「なし」）。 
「最大」はじ8ビットだけです。「なし」は、暗号化が無効になります。 

すべての信号を送信 

デフォルトは「オン J です。すべてのネットワークトラフィックを VPN リ 
ンク経由で送信します。無効にずると、スプリット-トンネリングが有効 
になり、 VPN 内のサーバに送信されたトラフィックだけがサーバ経由で送 
信されます。その他のトラフィックは直接インターネットに送信されます。 
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L 2 TP 設定 

L 2 TPVPN をデバイスに手動で構成するときは、次のような画面が表示されます： 



次の表を使って、入力する設定と情報を確認してください： 


1フイールド 

説明 1 

説明 

これらの設定を説明するタイトル。 

サーバ 

接続ずる VPN サーバの DNS 名または IP アドしス。 

アカウント 

ユーザの VPN ログインアカウントのユーザ名。 

パスワード 

ユーザの VPN ログインアカウントのパスワード。 

シークレット 

L 2 TP アカウントの共有シークレット（事前共有キー)。すべての LT 2 P ユー 
ザに共通です。 

すべての信号を送信 

デフオルトは「オン J です。すべてのネットワークトラフィックを VPN リ 
ンク経由で送信します。無効にずると、スプリット-トンネリングが有効 
になり、 VPN 内のサーバに送信されたトラフィックだけがサーバ経由で送 

信されます。その他のトラフィックは直接インターネットに送信されます。 
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Wi - Fi 設定 

Wi - Fi 設定を変更するときは、「設定」>「一般」>「ネットワーク J > 「 Wi - Fij と移動しまず。 
追加するネットワークが通信圏内にある場合は、利用できるネットワークのリストから選択しま 
す。それが外の場合は、「その他 J をタップします。 



ネットワーク環境で使用されている認証と暗号化に iPhone と iPod touch が対応していること 
を確認してください。仕様については、11ぺージの「ネットワークセキュリティ」を參照してく 
ださい。認証に必要な証明書のインストールについては、55ぺージの「固有名とルート証明書 
をインス!ルずる J を参照してください。 
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Exchange 設定 

各デバイスで構成できる Exchange アカウントは1つだけです。 Exchange アカウントを追加ず 
るときは、「設定」>「メール/連絡先/カレンダー」と移動してから、「アカウントを追加 J を 
タップしまず。「アカウントを追加」画面で 、 「Microsoft Exchangej をタップします。 

デバイスに Exchange を手動で構成するときは、入力ずる設定と情報を次の表を使って確認して 
ください： 


1フイールド 

説明 1 

メール 

ユーザの完全なメールアドし ス。 

ドメイン 

ユーザの Exchange アカウントのドメイン。 

ユーザ名 

ユーザの Exchange アカウントのユーザ名。 

バスワード 

ユーザの Exchange アカウントのバスワード。 

説明 

このアカウントを説明するタイトル。 


iPhone、iPod touch 、 および iPad は Microsoft 社の自動検出サービスに対応しているので、フ 
ロントエンド Exchange サーバのアドレスはユーザ名とパスワードによって判別されまず。サー 
バのア ドしスを判別できない場合は、アドレスの入力を求められまず。 



Exchanae 


メール jappleseed @ apple.com 


サーバ exchange . apple.com 


ドメイン 

apple 


ユーサる 

jappleseed 


パスワード "••••••• 


お明 

巧お先 



Exchange サーバ'が443が外のポートで接続を待機している場合は、 exchange . example . com : 
ポート番号のフォーマットで「サーバ」フィールドにポート香号を指定しまず。 

Exchange アカウントが正常に構成されると、サーバのパスコードポリシーが適用されます。ユー 
ザの現在のパスコードが ExchangeActiveSync ポリシーに準拠していない場合は、パスコード 
の蜜更または設定を求められまず。準拠するパスコードを設定するまでは、デバイスは Exchange 
サーバと通信できません。 
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次に、 Exchange サーバとずぐに同期ずるかどうかを確認する画面が表示されます。ここで同期 
しないことを選択した場合でも、後で「設定 J >「メール/連絡先/力しンダー J と選択すれば、 
カレンダーと連絡先の同期を有効にできます。デフオルトでは、新しいデータがサーバに送信ず 
ると、 Exchange ActiveSync によってデバイスにプッシュされまず。スケジュールに基づいて新 
しいデータをフェッチしたい場合、または新しいデータの取得を手動だけで巧いたい場合は、「設 
定」>「メール/連絡先/カレンダー」を使って設定を変更します。 

何日分のメールメッセージをデバイスに同期するかを変更するときは、「設定」>「メール/連 
絡先/カレンダー」と移動しまず。受信ボックスが外に、プッシュメール配信にどのフォルダを 
含めるかを選択ずることもできます。 


[.all 3G 9:42 ^ BI 



カレンダーデータの設定を蜜要ずるには、「設定」>「メール/連絡先/力しンダー」>「同期」 
と移動しまず。 
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LDAP 設定 

iPhone、iPod touch 、 および iPad では、 LDAP ディしクトリサーパ'上の連絡先情報を調べるこ 
とができまず。 LDAP サーバを追加するときは、「設定」>「メール/連絡先/カレンダー」> 
「アカウントを追加 J >「その他 J と移動しまず。その後、 「 LDAP アカウントを追加 J をタップ 
します。 



サーバ 

Idap.myccmpany-com 

ューザ 名 

バスワード 

説明 

:'ご卜のし DAP -- で1シ-'卜 


LDAP サーバのアドレスを入力し、必要に応じてューザ名とパスワードを入力してから、「次へ」 
をタップします。サーバに接続巧能であり、デフオルトの検索設定がデバイスに提供される場合、 
それらの設定が使用されまず。 
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Our LDAP 検索設定 



対応している検索範囲設定はが下の通りです： 


検索韶囲設定 


ベ-ス 


ベースオブジェクトのみを検索します。 


しべル 


ベースオブジェクトの 1 しべル下のオブジェクトを検索しますが、ベース 
オブジェクトそのものは検索しません。 


サブツリー 


ベースオブジェクトとその下のすべてのオブジェクトのツリー全体を検索 
します。 


サーバごとに複数の検索設定のセツトを定義できます。 
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Ca に AV 設定 

iPhone、iPod touch , および iPad では、グループの力しンダーやスケジユールを提供する 
CalDAV カレンダーサーバを利用します。 CalDAV サーバを追加するには、「設定」>「メール/ 
連絡巧/力しンダー」>「アカウントを追加」>「その他 J と移動します。そのを、 「 CalDAV ア 
カウントを追加」をタップします。 



CalDAV サーバのアドしスを入力し、必要に応じてユーザ名とバスワードを入力してから、「次へ」 
をタップします。サーバに接続すると、さらにオプションを設定するためのその他のフイールドが 
表示されます。 

カレンダーの照会の設定 

プロジェクトスケジュールや休日など、読み取り専用のカレンダーを追加できます。カレンダー 
を追加するには、 「設定」>「メール/連絡先/カレンダー」>「アカウントを追加 J >「その 
他」と移動し、「目育会するカレンダーを追加」をタップします。 


巧たするカレンプーアカウブトち鐘 g しました 


サーバ 

ical . mac . com / ical / French 3... 

説明 

French Holidays 


ューザ名 

バスワード 

SSL を巧用 


オフ 

アラームを削除 1’ 

オフ1 



- ^ 
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に alendar (. ics ) ファイルの URL と、必要に応じてユーザ名とパスワードを入力してから、「保 
存」をタップします。カレンダーをデバイスに追加したときに、力しンダー設定されているア 
ラームを削除するかどラかも指定できます。 

照会カレンダーを手動で追加するほか、ユーザに webcal://URL (または. ics ファイルへの 
http :// リンク）を送信することができまず。ユーザがリンクをタップすると、それを照会する 
カレンダーとして追加するかどうかを確認、する画面が表示されます。 

固有名とルート証明書をインストールする 

プロファイルを使って証明書を配信しない場合は、デバイスを使って Web サイトからダウンロー 
ドするか、またはメールメッセージの添付ファイルを開くことによって、ユーザが手動でインス 
I -ールすることができます。デバイスでは、が下の MIME タイプとファイル拡張子によって証明 
書が認識されまず： 

• application / x - pkcs 12、. p 12 、.pfx 

• application / x - x 509- ca-ce け、 . cer 、 .〔け、 .der 

巧応しているフォーマットやその他の要件については、 11 ぺージの「証明書と固有名」を参照し 
てくださし、。 

証明書または固有名がデバイスにダウンロードされると、「プロファイルをインストール」画面 
が表示されます。説明にはその種類（固有名または認証局）が表示されまず。証明書をインス I ^一 
ルするには、「インス!ル J をタップします。固有名証明書の場合は、証明書のパスワードを 
入力するよラ求められます。 



インストールされている証明書を表示または取り除くときは、「設定 J >「一般」>「プロファ 
イル」と移動します。アカウントまたはネットワークにアクセスするために必要な証明書を取り 
除いた場合は、デバイスからそれらのサービスに接続することはできません。 
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メールアカウントを追加する 

構成できる Exchange アカウントは1つだけですが、複数の POP および IMAP アカウントを追 
化]することができます。これらは、たとえば、 Lotus Notes または Novell Groupwise メールサー 
バ上のメー ルにアクセスするために使用できます。 「設定 J >「アカウント」〉「メール/連絡 
先/カレンダー」>「アカウントを追加」>「その他」と移動します。 IMAP アカウントの追加 
について詳しくは、 「iPhone ユーザガイド」、 「iPod touch ユーザガイド」、または 「iPad ユー 
ザガイド」を参照してください。 

プロファイルをアップデートする/取り除く 

構成プロファイルのアップデートまたは削除の方法については、43ぺージの「構成プロファイ 
ルを取り除く/アップデートする」を参照してください。 

配信プロビジヨニングプロファイルのインストールについては、63ぺージの「アプリケーシヨ 
ンを配備する」を参照してください。 

その他の参考資料 

VPN プロキシ設定で使用する自動プロキシ構成ファイルのフォーマットと関数については、が下 
の Web サイトを参照してください： 

• PAC (プロキシ自動構成） （http://en.wikipedia.org/wiki/Proxy_auto-config) 

• Web プロキシ自動検出プロトコル （http://en.wikipedia.org/wiki/Wpad) 

• Microsoft TechNet の 「Usina Automatic し onfiguration, Automatic Proxy, and Automatic 
Detection」(http://technet.microsoft.com/en-us/librarv/dd361918.aspx) 

アップルでは、標準的な Web ブラウザで見ることができるビデオチュートリアルをいくつか巧 
意していまず。 iPhone、iPod touch、 および iPad の機能を設定して使用ずる方法が紹介されて 
います： 

• iPhone のビデオカイド （www.apple.com/jp/iphone/guidedtour/) 

• iPod touch のビデオカイド （www.apple.com/jp/ipodtouch/auidedtour/) 

• iPad のヒザオカイド （www.apple.com/ipad/auided-tours/) 

• iPhone のサホート Web ぺージ （www.apple.com/jp/support/iphone/) 

• iPod touch のサホート Web ぺージ (.www.apple.com/jp/support/ipodtouch/) 

• iPad のサポート Web ぺージ （www.apple.com/jp/suppo け/ ipad/) 

また、デバイスごとにユーザガイド （PDF 形式）が用意されており、追加のヒントや使いかたの 
詳細が記載されています： 

•「iPhone ユーザガイド J : http://manuals.info.apple.com/ja」P/iPhone_User_Guide」Rpdf 
•「iPod touch ユーザガイド J : 

http://manuals.info.apple.com/ja_JP/iPod_touch_2.0_User_buide_J.pdr 
•「iPad ユーザガイド」： http://manuals.info.apple.com/ja 」 P/iPad_User_Guide」Rpdf 
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「 iTunes 」 を使用して、音楽やビデオを同期したり、アプリケーショ 
ンをインストールしたりします。 

この章では、 「iTunes」 とエンタープライズアプリケーションを配備する方法について説明し、 
指定できる設定と制限について明記します。 

iPhone、iPod touch、 および iPad では、各タイプのデータ（音楽やメディアなど）を一度に1 
台のコンピュータのみに同期できます。たとえば、両方のコンピュータで 「iTunes」 の同期オプ 
ションを適切に設定することで、音楽をデスクトップコンピュータと同期したり、ブックマーク 
をポータブルコンピュータと同期することができます。同期オプションについては、 「iTunes」 
が開いているときに「ヘルプ J メニューから 「iTunes ヘルプ」を参照してください。 


iTunes をインストールする 

「iTunes」 では、 Macintosh および Windows の標準インスI—ラが使用されまず。最新パ'—ジョ 
ンとシステム要件のリストは、 www.apple.com/jp/itunes からダウンロードできます。 

「iTunes」 の配信のライセンス要件については、次の Web サイトを参照してください： 
http://developer.apple.com/jp/softwarelicensing/aareements/itunes.html 


iTunes を Windows コンピュータにインストールずる 

「iTunes」 を Windows コンピュータにインストールすると、デフオルトで最新版の QuickTime、 
Bonjour、 およびアップル•ソフトウェア•アップデートもインス! -- ルされます。パラメータ 
を iTunes インストーラに渡すか、またはユーザのコンピュータにインストールしたいコンポー 
ネントだけをプッシュすることで、これらのコンポーネントのインストールを回避できます。 
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iTunesSetup . exe を使巧して Windows にインストールする 

HTunesj の通常のインストール処理を使用するけれども、一部のコンポーネントをインストー 
ルしない場合は、コマンドラインを使って iTunesSetup.exe にプロパティを渡すことができます。 


プロパティ 


N 0 AMDS =1 


N 0 ASUW = 


NO BONJOUR 二1 


Apple Mobile Device Services をインストールしません。 HTunesj がモバ 
イルデバイスを同期および管理するときに必要です。 

Apple Software Update for Windows をインストールしません。アツプル 
の新しいバージョンのソフトウェアをユーザに通知しまず。 

Bonjour をインストールしません。ネツトワーク上のプリンタ、共有 iTunes 
ライブラリ、およびその他のサービスをゼロ構成で検出します。 


N 0_ QUICKTIME =1 QuickTime をインストールしません。 「 iTunesj を使用するときに必要で 

ず。クライアントコンピュータにすでに最新版がインス!''―ルされている 
力、どうか分からない場合肤 QuickTime のインス!ルを回避しないでく 
ださい。 


伽 ndows にサイレントインストールする 

「iTunes」 をサイレントインストールずるには、 iTunesSetup.exe から個々の. msi ファイルを}由 
出してから、ファイルをクライアントコンピュータにプッシュします。 

iTunesSetup . exe から . msi ファイルを}由出ずるには： 

1 iTunesSetup.exe を実行します。 

2 「％1:emp%」 を開いて 「IXPnnn.TMP」 という名前のフォルダを見つけます。 「％temp%j は一時 
ディしクトリ、 nnn は3析の任意の数きでず。 Windows XP の場合、一時ディしクトリは通常、 
「起動ドライブ ADocuments and Settings\ ユーザ \Local Settings\temp\」 でず。 Windows 
Vista の場合、一時ディしクトリは通常は 「\Users\ ユーザ \AppData\Local\TempVj です。 

3 このフォルダの .msi ファイルを別の場所にコピーします。 

4 iTunesSetup.exe で開いたインストーラを終了します。 

それから、 Microsoft 管理コンソールの「グループ•ポリシー•オブジェクト•エディタ」を使っ 
て、 .msi ファイルを「コンピュータの構成」ポリシーに追加しまず。「ユーザの構成」ポリシー 
ではなく、 必ず「コンピュータの構成」ポリシーに追加してください。 

重要： 「iTunes」 には QuickTime と Apple Application Support が必要です。 Apple Application 
Support をインストールしてから 「iTunesj をインス!—ルずる必要があります。 「iTunes」 で 
iPhone、iPad、 または iPod touch を使巧するには、 AMDS (Apple Mobile Device Services) 
が必要です。 

.msi ファイルをプッシュずる前に、インストールしたい口ーカライズ済みの 「iTunesj のバー 
ジョンを選択する必要がありまず。これを巧うには、 bin\ にある 0RCA ツール （Windows SDK 
によって Orca.msi としてインストールされます）で .msi を開きまず。次に、概要情報のスト 
リームを編集し、インストールしない言語を削除します。（ロケール ID1033 は英語です。）また 
は、「グループ•ポリシー•オブジェクト*エディタ」を使って、 .msi ファイルの配備プロパティ 
を「言語を無視する」に変更します。 
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iTunes を Macintosh コンピユータにインストールずる 

Mac コンピュータには 「iTunesj がインストールされています。最新パ'-ジョンの 「iTunes」 は 
www.apple.com/jp/itunes から入手できます。 「iTunesj を Mac クライアントにプッシュする 
には、 Mac 0SX Server に付属の「ワークグループマネージヤ」といラ管理ツールを使用でき 
ます。 


iTunes を使ってデバイスをすばやくアクティべーションする 

新しい iPhone、iPod touch、 または iPad を使用する前に、 「iTunes」 を実巧しているコンピユー 
夕に接続してアクティべーショ ンする必要がありまず。 通常は、デバイスをアクティべーション 
した後に、 「iTunes」 によってコンピユータに自動的に同期されまず。ほかの人のデバイスを設 
定ずるときにこの動作を回避するには、アクティベーション専用モードを有効にします。これに 
より、デバイスがアクティベーションされた後にデバイスが自動的に取り出されまず。デバイス 
は構成できる状態ですが、メディアやデータは入っていません。 

MacOSX でアクティべーション専用モードを有効にずるには： 

1 「iTunes」 が実行中でないことを確認してから、「夕ーミナル」を開きます。 

2 「ターミナル」で、コマンドを入力しまず： 

• アクティベーション専用モードを有効にするには： 

defaults write com.apple.iTunes StoreActivationMode -inteaer 1 
• アクティベーション専用モードを無効にするには： 

defaults delete com.apple.iTunes StoreActivationMode 

デバイスをアク ティべーショ ンずる方法については、後述の「アク ティべーショ ン専用 モー ドを 
使用する」を参照してください。 

Windows でアクティベーション専巧モードを有効にずるには： 

1 「iTunes」 が実行中でないことを確認してから、コマンドプロンプトウインドウを開きます。 

2 コマンドを入力します： 

• アクティベーション専用モードを有効にするには： 

"C : \Program Files\iTunes\iTunes.exe" /setPrefInt StoreActivationMode 1 
• アクティベーション専用モードを無効にするには： 

"C : \Program Files\iTunes\iTunes.exe" /setPrefInt StoreActivationMode 0 

ショートカツトを作成するか 「iTunes」 の既をのショートカツトを編集してこれらのコマンドを 
取り込むことで、アクティベーションき用モードの有効/無効をすばやく切り替えることもでき 
ます。 


「iTunes」 がアクテイべーシヨンき用モードであることを確認するには、 「iTunes」 >「パ'-ジヨ 
ン情報 J と選択し、 HTunesj のパ'-ジョンとビルド ID の下に「アクテイべーシヨン専用モー 
ド」 というテキストがあるか確認します。 
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アクティべーション専用モードを使用ずる 

ずでに説明した方法でアクティベーション専用モードを有効にしていることを確認してから、次 
の手順を実行します。 

1 iPhone をアクティべーションする場合は、有効な SIM 力ードを挿入しまず。 SIM 取り出しツール 
またはまっすぐに伸ばしたクリップを使って、 SIM 卜しイを取り出します。詳しくは 、 「iPhone 
ユーザガイド」を参照してください。 

2 iPhone、iPod touch 、 または iPad をコンピュータに接続します。デバイスをアクティべーショ 
ンずるには、コンピュータがインターネットに接続されている必要があります。 

必要に応じて 「 iTunes 」 が開き、デバイスがアクティベーションされます。デバイスのアクティ 
ベーションが成巧すると、メッセージが表示されます。 

3 デバイスの接続を解除しまず。 

ずぐに別のデバイスを接続してアクティベーションできます。アクティベーション専用モードが 
有効なデバイスは自動的に同期されません。 「 iTunes 」 を使用してデバイスを同期する場合には、 
アクティベーション専用モードを無効にするのを忘れないでください。 


iTunes の制限を設定する 

ユーザが 「 iTunes 」 の特定の機能を使用することを制限できます。これはペアレンタルコント 
ロールと呼ばれることもありまず。が下の機能を制限できます： 

• 新しいパ'-ジョンの 「 iTunes 」 およびデバイスのソフトウェア•アップデートを自動的に確認 
したりユーザが手動で確認すること 

• メディアをブラウズまたは再生しているときに Genius の候補を表示ずること 
• デバイスを接続しているときに自動的に同期ずること 

• アルバムアートワークをダウンロードすること 
• ビジュアライザプラグインを使用ずること 
• ストリーミングメディアの URL を入力ずること 

• AppleTV システムを自動的に検出ずること 
• 新しいデバイスをアップルに登録ずること 

• Podcast を登録ずること 

• インターネットラジオを再生ずること 

• iTunes Store にアクセスすること 

• 「 iTunes 」 も実行している口ーカル•ネットワーク•コンピュータとライブラリを共有すること 
• 露骨な内容と指定されている iTunes メディアコンテンツを再生すること 

. ムービーを 再生すること 
. テしビ香組を再生ずること 
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Mac OS X のために iTunes 制限を設定ずる 

MacOSX では、 plist ファイルのキーを 使って アクセスを 制御しまず。 MacOSX では、上に記 
載されている キーの 値は、 MacOSX Server に付属の「ワ ークグルー プ マネージャ」 管理 ッール 
を使って「〜 /Library/Preferences/com.apple.iTunes.plist 」 を編集ずることによって、 ユーザご 
とに指定できまず。 

手順については、アップルのサポート記事 

( http :// docs . info . apple . com / article . html ? artnum =303099- ja ) を参照してく ださい。 

Windows のために iTunes 制限を設定ずる 

Windows では、仪下のいずれかのレジストリキー内のレジストリ値を設定ずることによって、 
アクセスを制御します： 

Windows XP および32ビット Windows Vista の場合： 

• HKEY _ LOCAL _ MACHINE \ Software\Apple Computer , Inc 八 iTunesVSID]\Parental Controls \ 

• HKEY _ CURRENT _ USER \ Software\Apple Computer , lnc .\ iTunes\Parental Controls 

64 ビット Windows Vista の場合： 

• HKEY _ LOCAL _ MACHINE \ Software \ Wow 6432 Node\Apple Computer , lnc .\ iTunes \[ SID ]\ 
Parental Controls \ 

• HKEY _ CURRENT _ USER \ Software \ Wow 6432 Node\Apple Computer , lnc .\ iTunes\Parental 
Controls 

「 iTunes 」 のしジストリ値については、アップルのサポート記事 

( http://suppo け . apple . com / kb / HT 210 2? viewlocale = ja 」 P ) を参照してく ださい。 

Windows レジストリの編集についての一般的な情報については、 Microsoft 社のヘルプおよび 
サポート記事 （ http://suppo け . microsoft . com / kb /136393) を参照してください。 

iTunes および iPhone OS を手動でアップデートずる 

「 iTunes 」 でソフトウエア-アップデートを自動的に確認する機能とユーザが手動で確認ずる機 
能を無効にした場合は、手動インス!ル用のソフトウエア-アップデートをユーザに配信する 
必要があります。 

「 iTunes 」 をアップデートするときは、このガイドですでに説明したインス!ルと配備の手順 
を参照してください。 「 iTunes 」 をユーザに配信する処理と同じ手順でず。 
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iPhone OS をアップデートするときは、が下の手順に従ってください： 

1 HTunesj のソフトウェア.アップデートが無効になっていないコンピュータで、 「 iTunes 」 を 
使ってソフトウェア•アップデートをダウンロードします。これを行うには、 HTunesj に接続 
されているデバイスを選択し、「概要」タブをクリックしてから、「アップデートを確認」 （ Mac ) 
または「更新ファイルを確認 J ( Windows ) ボタンをクリックしまず。 

2 ダウンロード後に、が下の場所にあるアップデータファイル （. ipsw ) をコピーします： 

• Mac OS X の場合：〜/ ライ ブラ 、 J / iTunes/iPhone Software Updates / 

• Windows XP の場合：起動ドライブ :\Documents and Settings \ く ユーザ > \Application 
Data\Apple Computer \ iTunes\iPhone software Updates \ 

3 . ipsw ファイルをユーザに配信ずるか、ユーザがアクセスできるネットワーク上に置きます。 

4 アップデートを適用ずる前に 「 iTunes 」 を使ってデバイスのバックアップを作成ずるように、 
ユーザに伝えてください。手動でアップデートするときは、インストールする前にデバイスの 
バックアップは自動的に作成されません。新しいバックアップを作成ずるには、 「 iTunesj のサ 
イドパ'—でデバイスを右クリックするか （ Windows )、 Control キーを押したままクリックしま 
ず （ Mac )。 次に、表示されるコンテキストメニューから「バックアップ J を選択しまず。 

5 ユーザが、デバイスを 「 iTunes 」 に接続してデバイスの「概要」タブを選択ずることによって、 
アップデートをインストールします。次にユーザは、 Option キー （ Mac ) または Shift キー 
( Windows ) を押したまま「アップデートを確認」 （ Mac ) または「更新ファイルを確認」 
( Windows ) ボタンをクリックしまず。 

6 ファイルを選択ずるダイアログが表示されます。ユーザが. ipsw ファイルを選択して「開く」を 
クリックすると、アップデート処理が開始されるはずでず。 


iTunes を使ってデバイスのバックアップを作成する 

iPhone、iPod touch 、 または iPad を 「 iTunes 」 と同期すると、デバイス設定のバックアップが 
コンピュータに自動的に作成されます。 AppStore から購入したアプリケーションは iTunes ラ 
イブラリにコピーされます。 

独自に開発したアプリケーションを作成し、エンタープライズ配布プロファイルを使ってユーザ 
に配布しても、それらのバックアップが作成されてユーザのコンピュータに転送されることはあ 
りません。ただし、そのアプリケーションで作成されるデータファイルはデバイスのバックアッ 
プに取り込まれます。 

デバイスのバックアップは、 「 iTunes 」 の概要パネルでデバイスの「バックアップを暗号化 j 才 
プションを選択ずることで、暗号化されたフォーマットで保をできます。ファイルは AES 256 を 
使って暗号化されます。鍵はセキュリティ保護された状態で iPhone OS のキーチェーンに保存 
されます。 


重要： バックアップするデバイスに暗号化プロファイルがインストールされている場合、 
「 iTunes 」 ではユーザがバックアップの暗号化を有効にする必要があります。 
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アプリケーシヨンを配備ずる 
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iPhone、iPod touch 、 および iPad のアプリケーシヨンをユーザに配 
信できます。 


開発した iPhone の 0 S アプリケーションをインストールしたい場合は、アプリケーションをユー 
ザに配信すると、そのユーザが 「 iTunes 」 を使ってそのアプリケーションをインス! -- ルします。 

オンラインの AppStore で公開されているアプリケーションは、追加の手順を実巧しなくても 
iPhone、iPod touch 、 および iPad で使用できます。配信したいアプリケーションを自分で開発 
ずる場合は、アップルが発行する証明書を使ってデジタル署名ずる必要があります。また、配信 
プロビジョニングプロファイル（ユーザがデバイスでそのアプリケーションを使用ずることが許 
巧されます）をユーザに提供する必要があります。 

独自のアプリケーションを配備ずる処理は次の手順で構成されます： 

. エンタープライズ開発をアップルに登録しまず。 

• 証明書を使ってアプリケーションに署名しまず。 

• 署名したアプリケーションをデバイスで使用ずることを承認ずるために、エンタープライズ配 
信プロビジョニングプロファイルを作成しまず。 

• アプリケーションとエンタープライズ配信プロビジョニングプロファイルをユーザのコン 
ピュータに配備しまず。 

. HTunesj を使ってアプリケーシヨンとプロファイルをインストールするようにユーザに指示 
します。 


これらの手順の詳細についてこれから説明しまず。 

アプリケーション開発を登録する 

iPhone 0 S 向けのカスタムアプリケーションを開発および配備するには、まず 
http :// developer . apple . com/jp で 「iPhone Enterprise Developer Program 」 に登録します。 

登録処理が完了ずると、アプリケーションをデバイスで使用することを許可する指示が届き 
ます。 
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アプリケーションに署名する 

ユーザに配信するアプリケーションには、配信証明書を使って署名ずる必要があります。証明書 
を取得して使用する方まについては、 http :// developer . apple . com / jp / iphone / program の 
「iPhone Dev Center 」 を参照してください。 


配信プロビジョニングプロファイルを作成する 

配信プロビジョニングプロファイルがあれば、ユーザがデバイスで使用できるアプリケーション 
を作成できます。特定のアプリケーションまたは複数のアプリケーションの エン タープライズ配 
信プロビジョニングプロファイルを作成するときは、プロファイルによって承認される AppID 
を指定してください。ユーザがアプリケーションを持っていても、それを使用することを承認す 
るプロファイルがない場合、ユーザはそのアプリケーションを使用できません。 

エンタープライズ向けのチームエージェントが 、 「Enterprise Program Portalj 
( http :// developer . apple . com / jp / iphone / proaram ) で配信プロビジョニングプロファイルを作 
成できます。詳しくは、 Web サイトを参照してください。 

エン タープライズ配信プロビジョニングプロファイルを作成したら、 . mobileprovision ファイル 
をダウンロードしてから、アプリケーションと一緒にセキュリティ保護された方法で配信し 
まず。 


iTunes を使用してプロビジョニングプロファイルをインストール 
する 

ユーザの環境に 「 iTunes 」 がインストールされていれば、このセクションで定義するが下のフォ 
ルダにあるプロビジョニングプロファイルが自動的にインストールされます。フォルダがを在し 
ない場合は、臥下に示す名前を使ってフォルダを作成してください。 

Mac OS X 

•〜/ ライブラリ / MobileDevice/Provisioning Profiles / 

• / ライブラリ / MobileDevice/Provisioning Profiles / 

•し/ ライブラリ / Preferences / com . apple . itunes 」 内の ProvisioninaProfilesPath キーに指定さ 

れているパス 


Windows XP 

• 起動ドライブ : \Documents and Settings \ くユーザ名> \Application Data \ 

Apple Computer \ MobileDevice\Provisionina Profiles 
• 起動トフイブ : \Documents and Settin 日 s\AII Users\Application Data\Apple Computer \ 
MobileDevice\Provisioning Profiles 

•「 S 0 FTWARE\Apple Computer , IncVTunes 」 内の ProvisioningProfilesPath レジストリキーの 
HKCU または HKLM に指定されているパス 
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Windows Vista 

• 起動ドライブ: \ Users \ くユーザ名 > \ AppData \ Roaming \ AppleComputer \ MobileDevice \ 
Provisionina Profiles 

• 起動ドライブ :\ ProgramData\AppIe Computer \ MobileDevice\Provisioning Profiles 
•「 SOFTWARE\Apple Computer , IncVTunes 」 内の ProvisioningProfilesPath レジストリキーの 
HKCU または HKLM に指定されているパス 

上記の場所にあるプロビジョニングプロファイルは、 「 iTunes 」 によって同期されるデバイスに 
自動的にインス h — ルされます。インストールされたプロビジョニングプロファイルは、「設定」> 
「一般」>「プロファイル」のそのデバイスで見ることができまず。 

. mobileprovision ファイルを ユー ザに配信して、 ユー ザに 「 iTunes 」 アプリケーションアイコン 
にドラッグしてもらってもかまいません。 「 iTunes 」 によって、上に定義されている適切な場所 
にファイルが自動的にコピーされます。 

iPhone 構成ユーティリティを使巧してプロビジョニングプロファイ 
ルをインストールする 

「 iPhone 構成ユーティリティ」を使用して、接続されているデバイスにプロビジョニングプロ 
ファイルをインストールできまず。が下の手順に従ってください： 

1 「 iPhone 構成ユーティリティ」で、「ファイル j >「ライブラリに追加」と選択してから、イン 
ストールしたいプロビジョニングプロファイルを選択します。 

プロファイルが 「 iPhone 構成ユーティリティ」に追加されたら、「ライブラリ」の「プロビジョ 
ニングプロファイル」カテゴリを選択することで見ることができまず。 

2 「接続済みデバイス J リストでデバイスを遵択します。 

3 「プロビジョニングプロファイル」タブをクリックします。 

4 リスト内でプロビジヨ ニン グプロファイルを選択して、その「インストール」ボタンをクリック 
します。 


iTunes を使用してアプリケーシヨンをインストールする 

ユーザは 「 iTunes 」 を使ってアプリケーシヨンをデバイスにインストールしまず。アプリケー 
シヨンをセキュリティ保護された状態でユーザに配信してから、が下の手順でインストールして 
もらいます： 

1 「 iTunes 」 で、「ファイル j >「ライブラリに追加 j と選択し、配信済みのアプリケーシヨン 
(. app ) を選択します。 

. app ファイルを 「 iTunes 」 アプリケーシヨンアイコンにドラッグずることもできます。 

2 デバイスをコンピュータに接続してから、 「 iTunes 」 の「デバイス」リストで選択します。 

3 「アプリケーシヨン J タブをクリックしてから、リストでアプリケーシヨンを選択します。 
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4 「適用」をクリックずると、アプリケーションとすべての配信プロビジョニングプロファイル 
(64 ぺージの 「 iTunes を使用してプロビジョニングプロファイルをインストールする」の説明 
で指定されているフォルダにあります）がインストールされます。 

iPhone 構成ユーティリティを使用してアプリケーションをインス 
S 一 J レする 

「 iPhone 構成ユーティリティ」を使用して、接続されているデバイスにアプリケーションをイン 
ストールできまず。が下の手順に従ってください： 

1 「 iPhone 構成ユーティリティ」で、「ファイル j >「ライブラリに追加」と選択してから、イン 
ストールしたいアプリケーションを選択します。 

アプリケーションが 「 iPhone 構成ユーティリティ」に追加されたら、「ライブラリ」の「アプリ 
ケーション」カテゴリを選択することで見ることができまず。 

2 「接続済みデバイス J リストでデバイスを選択します。 

3 「アプリケーション J タブをクリックします。 

4 リスト内でアプリケーションを選択して、その「インストール」ボタンをクリックしまず。 

エン タープライズアプリケーションを使用する 

アップルによって署名されていないアプリケーションをユーザが実行すると、使用ずることを承 
認している配信プロビジョ ニン グプロファイルがデバイスによって検索されまず。プロファイル 
が見つからない場合は、アプリケーシヨンは開きません。 


エンタープライズアプリケーションを無効にする 

企業内アプリケーションを無効にする必要がある場合は、配信プロビジョニングプロファイルの 
署名に使用ずる固有名を無効にずることで、アプリケーションを無効にすることができます。ア 
プリケーシヨンはそれが降はインストールできなくなり、すでにインストールされている場合は 
開かなくなりまず。 


その他の参考資料 

アプリケーションとプロビジョニングプロファイルの作成方法について詳しくは、が下を参照し 
てくださし、： 

• http :// developer . apple . com / jp / iphone / の 「iPhone Dev し enter 」 
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第5章 アプリケーシヨンを配備ずる 



Cisco VPN サーパの構成 


A I 


iPhone、iPod touch 、 および iPad を使用できるように Cisco VPN 
サーバを構成するときは、 L 乂下のガイドラインに従ってください。 

対応している Cisco プフットフォーム 

iPhone 0S は、 7.2.x ソフトウェア ii (降で構成された Cisco ASA 5500 Security Appliances およ 
び PIX Firewall に対応しています。最新の 8.0.x ソフトウェアリリース(降をお勧めします。 
iPhoneOS は ISO パ'-ジョン 12.4 (15) TL 乂降の Cisco IOSVPN ルーターにも巧応しています。 
VPN 3000 シリーズコンセントレータは iPhone VPN 機能に巧応していません。 


認証方法 

iPhone OS は、が下の認証方法に対応していまず： 

• 事前共有キーによる IPsec 認証と xauth によるユーザ認証 

• クライアント証明書およびサーバ証明書による IPsec 認証と xauth による任意のユーザ認証 
• サーバが証明書を提示しクライアントが事前共有キーを提示する八イブリツド認証による 
IPsec 認証。 xauth によるユーザ認証が必要でず。 

• ユーザ認証では xauth が使用されまず。次の認証方法に対応しています： 

• ユーザ 名とパ スワード 
• RSA SecurlD 


• Crypto し ard 
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認証グループ 

Cisco Unity プロトコルでは、認証およびその他のパラメータが共通するユーザをまとめるため 
に、認証グループが使用されます。 iPhone 0 S デバイスユーザ用の認証グループを作成すること 
をお勧めします。事前共有キーまたは八イブリッド認証を使用ずる場合は、デバイス上でグルー 
プ名を構成し、グループのパスワードとしてグループの共有シークしット（事前共有キー）を指 
定ずる必要があります。 

証明書認証を使用する場合は、共有シークレットは使用されず、証明書に含まれるフィールドに 
基づいて ユー ザのグループが判別されます。 Cisco サーバの設定を使用して、証明書のフィール 
ドを ユーザ グループに マツ ピングできます。 


証明書 

証明書を設定およびインストールするときは、が下の点を確認してください： 

• サーバの固有名証明書では、サブジェクト代替名 （ SubjectAltName ) フィールドに、サーバ 
の DNS 名と IP アドしスまたはそのいずれかを指定する必要がありまず。デバイスでは、この 
情報によって、証明書がサーバに属しているかどうかが確認されまず。 SubjectAltName をよ 
り柔軟に指定ずるために、ワイルドカード文字を使用して、セグメント単位で一致させること 
もできます（例： vpn .*. mycompany . com ) 。 SubjectAltName を指定しない場合は、コモン 
ネームフィールドに DNS 名を指定できます。 

• サーバの証明書に署名した CA の証明書をデバイスにインストールする必要がありまず。 CA の 
証明書がルート証明書でない場合は、信頼チェーンの残りの証明書をインス!^ールして、証明 
書が信頼されるよラにする必要がありまず。 

• クライアント証明書を使用する場合は、クライアントの証明書に署名した信頼された CA 証明 
書が VPN サーバにインストールされていることを確認します。 

• 証明書および認証局に A ) が有効である必要があります馆効期限力 《 切れていないなど）。 

• サーバによる証明書チェーンの送信には対応していません。そのため、この機能は無効にする 
必要がありまず。 

• 証明書による認証を使巧する場合は、クライアント証明書に含まれるフィールドに基づいて 
ユーザのグループを識別ずるよラにサーバを設定する必要があります。68ぺージの「認証グ 
ループ」を参照してください。 
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IPSec の設定 

が下の IPSec 設定を使用してください： 

•モード：トンネルモード 

• IKE モード：事前共有キーおよび八イブリッド認証の場合はアグレッシブモード、証明書認証 
の場合はメインモード 

• 暗号化アルゴリブム： 3 DES 、 AES -128、 AES -256 
• 認証ァルゴ U ブム； HMAC - MD 5、 HMAC - SHA 1 

• Diffie Heilman グループ：事前共有キーおよび八イブリッド認証の場合は、グループ2にする 
必要がありまず。証明書認証の場合、 3 DES および AES -128 ではグループ2を使用しまず。 
AES -256 ではグループ2または5を使巧します。 

• PFS (Perfect Forward Secrecy ) : PFS を使用する場合 、 IKE フェーズ2では、 Diffie-Hellman 
グループを IKE フェーズ1と同じにする必要があります。 

• モード構成：有効にする必要があります。 

• DPD (Dead Peer Detection ) :推奨されます。 

• 標準 NAT トラバーサル：対応しており、必要に応じて有効にできます。 （ IPSecoverTCP には 
対応していません。） 

• 負荷分散：巧応しており、必要に応じて有効にできます。 

• フエーブ1のキー更新：現時点では対応していません。サーバでのキー更新時間をおよそ1時 
間に設定することをお勧めします。 

• ASA アドレスマスク：すべてのデバイスのアドレスプールのマスクが設定されていないか、ま 
たは255.255 .255.255 に設定されていることを確認してください。例： 

asa ( config-webvpn)# ip local pool vpn users 10.0.0.1-10.0.0.254 mask 
255.255 .255.255. 

推奨されたアドレスマスクを使用すると、 VPN 構成が想定するルーティングの一部が無視さ 
れる場合がありまず。この問題を回避するには、必要なルーティングがルーティングテーブル 
にすベて含まれていて、サブネットアドレスにアクセスできることを確認してから、配備する 
よラにしてください。 

その他の対応機能 

iPhone、iPod touch 、 および iPad は、が下の機能に対応していまず： 

• アプリケーシ ョン バージ ョン： クライアントソフトウェアのバージョンがサーバに送信され 
ます。これによりサーバは、デバイスのソフトウェアバージョンに基づいて接続を許可または 
拒否できます。 

. バナ ー: サーバでバナーが構成されている場合は、デバイスにバナーが表示され、ユーザは 
それを受け入れるか接続を解除する必要がありまず。 

• スプリット-トンネル：スプリット.トンネリングを利用できます。 

. スプリット DNS : スプリット DNS を利用できます。 

. デフオルトド六イン：デフオルトドメインを利用できます。 
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構成プロファイルのフオーマット 


B 


I 


この付録では、独自のツールを作成したい管理者のために、 
mobileconfig ファイルのフォーマットについて説明します。 

ここでは、アップルの XML DTD および一般的なプロパティリストのフォーマットに精通してい 
ることを前提として説明をします。アップルの一般的な plist フォーマットについては、 
www . apple . com / DTDs / Prope け yList - I . O . dtd を参照してください。まず始めに 「 iPhone 構成 
ユーティリティ」を使って、この付録の情報を基に変更できるスケルトンファイルを作成してく 
ださし、。 

この付録では、ペイ□ードおよびプ□ファイルという用語を使用しまず。プロファイルとは、 
iPhone、iPod touch 、 または iPad に特定（単一または複数）の設定を構成するファイル全体の 
ことです。ペイロードとは、プロファイルファイルの個々の構成要素のことでず。 


ルートレベル 

ルートレベルでは、構成ファイルはが下のキー/値ペアを含むデイクシヨナリになります： 




PayloadVersion 

数値、必須。構成プロファイルファイル全体のバージョンです。この 
バージョン香号は、個々のペイ□ー ドではなく、プロファイル全体の 

フォーマットを示しまず。 

PayloadUUID 

文字列、必須。これは通常、人工的に生成された一意の識別文字列です。 
この文字列は、内容に意味はありませんが、全体で一意である必要があ 
ります 。 Mac OS X で肤 / usr / bin / uuidgen を使って UUID を生成でき 
ます。 

PayloadType 

文字列、必須。現在のところ、このキーに有効な値は 「 Configuration 」 
のみでず。 

PayloadOrganization 

文字列、オプション。この値は、プ□ファイルを発行した組織を示し、 

ユーザに表示されます。 

Payloadidentifier 

文字列、必須。この値は慣例的に、プ□ファイルを一意に表すドット区 
切りの文字列です（例： com . myCorp . iPhone . mailSettings 、 
edu . myCollege . students . vpn ) o この文字列によってプ□ファイルが区 
別されます。プロファイルのインス]ル時に、同じ識別子を持つ別の 
プロファイルがあった場合は、追加されるのではなく上書きされます。 
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キー 値 

PayloadDisplayName 

文字列、必須。この値肤プロファイルを説明ずる非常に短い文字列で、 
ユーザに表示されまず（例： VPN 設定)。一意である必要はありません。 

PayloadDescription 

文字列、オプション。この値は、自由形式の説明テキストで、プ□ファ 
イル全体の「詳細」画面でユーザに表示されます。この文字列は、イン 
ストールずべきかどラかをユーザが判断できるよラに、プロファイルの 

内容を明確に示すものにしてください。 

PayloadContent 

配列、オプション。この値は、プロファイルの実際の内容です。 

省略した場合は、プロファイル全体が機能を持たなくなりまず。 

PayloadRemovalDisallowed 

ブール値、オプション。デフオルトは「 N 0」です。設定した場合、ユー 
ザはプロファイルを削除できなくなります。これが設定されているプロ 
ファイルは、プロファイル識別子力、‘一致し、同じ磯関によって署名され 
ている場合のみ、 USB または Web /メールを介してアップデートでき 
まず。削隙巧パスワードが指定されている場合は、そのパスワードを指 
定することでプロファイルを削除できます。 

プロファイルが署名済みで暗号化されている場を、プ□ファイルを変更 

することはできません。さらに、この設定はデバイス上にも表示される 
ため、このロッキングビットが目につく状態にあっても問題ありません。 

ペイロードの内容 

PayloadContent 配列はディクショナリの配列で、各ディクショナリはプロファイルの個々のぺ 
イロードを示します。機能を持つプロファイルでは、この配列に1つが上のエントリーが含まれ 
ます。この配列内の各ディクショナリには、ペイロードのタイプに関係なく、共通のプロパティ 
がいくつかあります。それが外のプロパティは、各ペイロードタイプにき用であり一意です。 

キー 値 

PayloadVersion 

数値、必須。個々のペイロードのバージョンです。1つのプロファイルに異 
なるバージョン香号のペイロードを含めることができまず。たとえば、将 
来のある時点で、「メール J のバージョン番号はそのままにして、 VPN の 
バージョンを上げることができます。 

PayloadUUID 

文字列、必須。これは通常、人工的に生成された一意の識別文字列でず。 
この文字列は、内容に意味はありませんが、全体で一意である必要があり 

ます。 

PayloadType 

文字列、必須。このキー/値ペアは、プロファイル内での個々のペイ □- 
ドのタイプを示します。 

PayloadOrganization 

文字列、オプション。この値は、プロファイルを発行した組織を示し、ユー 
ザに表示されます。ルートレベルの PayloadOrganization と同じにするこ 
とも、別の文字列にすることもできます。 

Payloadident げ ier 

文字列、必須。この値は慣例的に、ペイロードを一意に表ずドット区切り 
の文字列です。通常は、ルートの Payloadidentifier にサブ識別子を追カロし 
て、特定のペイロードを表します。 

PayloadDisplayName 

文字列、必須。この値は、プ□ファイルを説明ずる非常に短い文字列で、 
ユーザに表示されます（例： VPN 設定）。一意である必要はありません。 

PayloadDescription 

文字列、オプション。この値は、自由形式の説明テキストで、このペイ □- 
ドの「詳細」画面に表示されます。 
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プ□ファイル削除用パスワードペイロード 

削除用パスワードペイロードであることは、 PayloadType 値 

com . apple.profileRemovalPassword によって示されまず。目的は、ユーザがデバイスから構成 
プロファイルを削除するためのパスワードをエンコードすることでず。このペイロードが指定さ 
れていて、パスワード値が設定されている場合は、ユーザがプロファイルの「削除」ボタンを 
タップしたときにデバイスでパスワードの入力を求められます。このペイロー ドはプロファイル 
の残りの部分と共に暗号化されます。 


キ— 


RemovalPassword 文字列、オプション。プロファイルの削除用パスワードを指定します。 


パスコード.ポリシー.ペイロード 

パスコード.ポリシー.ペイロードであることは、 PayloadType 値 

com . apple . mobiledevice.passwordpolicy によって示されます。このペイロードタイプが含ま 
れる場合は、デバイスでユーザに英数字パスコード入力画面が表示され、特定の長さの複雑なパ 
スコードの入力を要求できます。 

ずべてのペイロードに共通の設定が外に、このペイロードではが下の設定を定義できます： 




allowSimple 

ブール値、オプション。デフォルトは 「 YESj です。単純なバスコード 

を許可するかどラかを指定します。単純なパスコードとは、文字の繰り 
返しや昇順/降順の文字列（口3、 CBA など）を含むバスコードのこと 
でず。この値を 「 NOj に設定すると、 minComplexChars をり J に設 
定するのと同じ意味になります。 

forcePIN 

ブール値、オプション。デフォルトは 「 NOj です。ユーザに PIN の設 
定を強制ずるかどうかを指定します。この値だけを設定し、ほかの値を 
設定しない場合は、ユーザにパスコードの入力が強制されますが、長さ 
や複雑性の制限はなくなりまず。 

maxFailedAttempts 

数値、オプション。デフォルトは「11」でず。指定可能な範囲は2〜11 
でず。デバイスのロック画面でバスコードの入力を失敗できる回数を指 
定します。この回数を超えると、デバイスが□ックされます。この場合、 

ロックを解除するにはそのデバイスが認証された 「 iTunes 」 に接続する 
必要があります。 

maxlnactivity 

数値、オプション。デフォルトは 「 Infinity 」 でず。デバイスの待磯状態 
(ユーザがロック解除ずる必要のない状態）が続いて自動的にロックさ 
れるまでの分数を指定します。この制限に達すると、デバイスが□ック 
されてパスコードの入力が必要になります。 

maxPINAgeInDays 

数値、オプション。デフォルトは 「 Infinity 」 です。同じパスコードを使 
巧できる日数を指定します。この日数が過ぎると、デバイスをロック解 
除するためにパスコードの変更が必要になります。 

minComplexChars 

数値、オプション。デフォルトは「0」です。バスコードに含める必要 
のある複合文字の最小数を指定しまず。複合文字とは、数字または文字 
が外の文字（&、〇/〇、$、#など）のことです。 
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キ— 

値 

minLenqth 

数値、オプション。デフォルトは「0」です。バスコードの最小限の長 

さを指定します。このパラメータと、同様にオプションである 
minComplexChars 引数との間に依を関係はありません。 

requireAlphanumeric 

ブール値、オプション。デフォルトは「 N 0」でず。アルファベット （ a 、 
b 、 C 、 d など）を含める必要があるか、または数字だけを許可ずるかを 
指定します。 

DinHistory 

数値、オプション。ユーザがパスコードを変更するときは、履歴の最後 
の N 個のエントリー内で一意である必要があります。最小■(直は1で、最 
大値は50です。 

manualFetchinaWhenRoamina 

ブール値、オプション。設定した場合、口ーミング時にすべてのプッ 
シュ操作が無効になります。ユーザは新しいデータを手動でフェッチす 

る必要があります。 

maxGracePeriod 

数値、オプション。バスコードを入力せずに電話の□ックを解隙するた 
めの、最大の猶予期間（分単位)。デフォルトは0 (猶予期間なし）で、 
即座にバスコードカ、’必要になります。 

木 —ルペイロ ード 

メールペイロードであることは、 PavloadType 値 com . apple . mail . managed によって示されま 
ず。このペイロードでは、デバイス上にメールアカウントが作成されます。ずべてのペイロード 
に共通の設定が外に、このペイロードではが下の設定を定義できまず： 

キ- 


tmailAccountDescription 

文字列、オプション。メールアカウントの説明です。「メール」および 
「設定 J アプリケーションでユーザに表示されます。 

tmailAccountName 

文字列、オプション。アカウントのユーザのフルネームです。このユー 
ザ名は、送信メッセージなどで使用されます。 

tmailAccountlype 

文字列、必須。指定可能な値は 「 EmailTypePOPj と 「 EmailTypelMAP 」 
です。アカウントに使用するプロトコルを定義します。 

ヒ mailAddress 

文字列、必須。アカウントの完全な乂ールアドレスを指定します。ペイ 
口ードで指定しない場合は、デバイスでプロファイルのインストール時 

にこの文字列の入力が求められまず。 

IncominaMailServerAuthentication 

文字列、必須。受信メールの認 iE 方法を指定します。指定可能な値は 
■" EmailAuthPassword 」 と 「EmailAuthNonej です。 

IncomingMailServerHostName 

文字列、必須。受信メールサーバのホスト名（または IP アドしス）を指 
定しまず。 

IncomingMailServerPo け Number 

数値、オプション。受信メールサーバのポート番号を指定しまず。ポー 
卜番号を指定しない場合は、指定されたプロトコルのデフォルトのポー 
卜が使用されます。 

IncomingMailServerUseSSL 

ブール値、オプション。デフォルトは 「 Yesj でず。受信メールサーバ 
で認証に SSL を使用ずるかどラかを指定します。 

IncomingMailServerUsername 

文字列、必須。メールアカウントのユーザ名を指定しまず。通常は、メー 
ルアドレスの @ より前の文字列になります。ペイ ロードで指定しない場 

合、受信メールで認 iE を行ラようにアカウントが設定されているとき 
は、デバイスでプロファイルのインストール時にこの文字列の入力が求 

められまず。 
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1 キー 値 1 

IncominaPassword 

文字列、オプション。受信メールサーバのパスワード。暗号化されたプ 

ロファイルのみで使用します。 

OutgoingPassword 

文字列、オプション。送信メールサーバのバスワード。暗号化されたプ 

ロファイルのみで使用します。 

OutgoinqPasswwordbameAsIncomin 

gPassword 

ブール値、オプション。設定した場を、ユーザは1回だけバスワードの 
入力を求められ、それが送信メールと受信メールの両方で使用され 
ます。 

OutgoingMa り ServerAuthentication 

文字列、必須。送信メールの認 iE 方法を指定します。指定可能な値は 
「 EmailAuthPassword 」 と 「EmailAuthNonej です。 

OutgoingMailServerHostName 

文字列、必須。送信メールサーバのホスト名（または 1 P アドレス）を指 
定します。 

OutgoingMailServerPortNumber 

数値、オプション。送信メールサーバのポート番号を指定します。ポー 
卜番号を指定しない場合は、ポート25、58入465がこの順香で使巧さ 
れまず。 

OutgoingMailServerUseSSL 

ブール値、オプション。デフオルトは 「 Yesj です。送信メールサーバ 
で認証に SSL を使用ずるかどラかを指定しまず。 

OutgoingMailServerUsername 

文字列、必須。メールアカウントのユーザ名を指定しまず。通常は、メー 
ルアドしスの @ より前の文字列になりまず。 ペイ ロードで指定しない場 
合、送信メールで認 iE を行ラようにアカウントが設定されているとき 

は、デバイスでプロファイルのインストール時にこの文字列の入力が求 
められます。 


Web クリツプペイロード 

Web クリツプぺイロードであることは、 PayloadType 値 com . apple . webClip . managed によつ 
て示されまず。すべてのペイロードに共通の設定が外に、このペイロードではが下の設定を定義 
できます： 



値 1 

URL 

文字列、必須。クリックずると Web クリップが開く URL 。 URL は HTTP ま 
たは HTTPS で始まる必要がありまず。それが外の場合は機能しません。 

Label 

文字列、必須。ホーム画面に表示される Web クリップの名前。 

Icon 

データ、オプション。ホーム画面に表示される PNG アイコン。サイズは59 

X 60ピクセルにずる必要がありまず。指定しない場合は、白い四角が表示 
されます。 

IsRemovable 

ブール値、オプション。「 N0 」の場合、ユーザが Web クリップを削除する 
ことはできませんが、プロファイルが削除された場合は削除されます。 
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制限ペイロー ド 

制限ペイロードであることは、 PayloadType 値 com . apple . applicationaccess によって示されま 
す。すべてのペイロードに共通の設定が外に、このペイロードではが下の設定を定義できます： 



値 1 

allowApplnstallation 

ブール値、オプション。偽のときは、 AppStore は無効になり、アイコン 
がホーム画面から削除されまず。ユーザはアプリケーションをインストー 
ルまたはアップデートできません。 

allowCamera 

ブール値、オプション。偽のときは、カメラは完全に無効になり、アイコ 
ンがホーム画面から削除されます。ユーザは写真を撮ることはできません。 

allowExplicitContent 

ブール値、オプション。偽のときは 、 iTunes Store から購入した露骨な内 
容の音楽やビデオが隠されまず。露骨な内容は 、 iTunes Store から販売さ 
れるときに、しコード舎社などのコンテンツプロバイダによって露骨な内 
容として指定されています。 

allowScreenShot 

ブール値、オプション。偽のときは、ユーザはデイスプしイのスクリーン 
ショットを保をできません。 

allowYouTube 

ブール値、オプション。偽のときは、 WouTube 」 アプリケーションは無効 
になり、アイコンがホーム画面から削除されます。 

allowiTunes 

ブール値、オプション。偽のときは 、 iTunes Music Store は無効になり、ア 
イコンがホーム画面から削除されます。ユーザはコンテンツをプしビュー、 
購入、およびダウン□-ドできません。 

allowSafari 

ブール値、オプション。偽のときは、 SafariWeb ブラウザアプリケーショ 
ンは無効になり、アイコンがホーム画面から削除されまず。ユーザが Web 
クリップを開くこともできなくなります。 


LDAP ペイロード 

LDAP ペイロードであることは、 PayloadType 値 com . apple . ldap . account によって示されます。 
LDAP Account から LDAPSearchSettings まで1対多の関係があります。 LDAP をツリーとして 
考えます。各 SearchSettings オブジェクトは検索を始めるツリー内のノードと、検索対象の範 
囲（ノード、ノードと1つのしベルの子、ノードとずべてのしべルの子）を表します。すべての 
ペイロードに共通の設定臥外に、このペイロードではが下の設定を定義できまず； 



値 1 

LDAPAccountDescription 

文字列、オプション。アカウントの説明。 

LDAPAccountHostName 

文字列、必須。ホスト。 

LDAPAccountUseSSL 

ブール値、必須。 SSL を使巧するかどうか。 

LDAPAccountUserName 

文字列、オプション。ユーザ名。 

LDAPAccountPassword 

文字列、オプション。暗号化されたプロファイルのみで使巧します。 

LDAPSearchSettings 

最上位のコンテナオブジェクト。1つのアカウントに複数設定できます。有 
効にずるには、アカウントに！つが上設定ずる必要があります。 

LDAPSearchSettingDescription 

文字列、オプション。この検索設定の説明。 
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キ— 


LDAPSearchSettingSearchBase 文字列、必須。概念的には、 「ou:people,o=examplecorp」 で検索を始め 

るためのノードへのパス 

LDAPSearchSettingScope 文字列、必須。検索で使巧ずる再帰を定義します。 

が下の3つの値のいずれかにすることができます： 
LDAPSearchSettingScopeBase :SearchBase によって指定された即値ノード。 
LDAPSearchSettingScopeOneLevel : ノードとその直接の子。 
LDAPSearchSettinaScopeSubtree : ノードと、深さを問わずすべての子。 


CalDAV ペイロード 

CalDAV ペイ ロー ドであることは、 PayloadType 値 com.apple.caldav.account によって示され 
まず。すべてのペイ ロー ドに共通の設定臥外に、このペイ ロー ドでは臥下の設定を定義できます： 


1 キー 値 1 

CalDAVAccountDescription 

文字列、 

オプション。アカウントの説明。 

CalDAVHostName 

文字列、 

必須。サーバアドしス 

CalDAVUsername 

文字列、 

必須。ユーザのログイン名。 

CalDAVPassword 

文字列、 

オプション。ユーザのバスワード 

CalDAVUseSSL 

ブール値、必須。 SSL を使巧するかどう力、。 

CalDAVPo け 

数値、オプション。サーバに接続するポート。 

CalDAVPrincipalURL 

文字列、 

オプション。ューザの力しンダーへのべース URL。 


カレンダーの照会ペイロード 

Cal 占 ub ペイロードでめることは、 PayloadTvpe イ直 com.apple.subscribedcalendar.account に 
よって示されまず。すべてのペイロードに共通の設定が外に、このペイロードではが下の設定を 
定義できまず： 


1 キー 値 1 

SubCalAccountDescription 

文字列、 

オプション。アカウントの説明。 

SubCalAccountHostName 

文字列、 

必須。サーバアドしス。 

SubCalAccountUsername 

文字列、 

オプション。ユーザのログイン名。 

SubCalAccountPassword 

文字列、 

オプション。ユーザのパスワード。 

SubCalAccountUseSSL 

ブール値、必須。 SSL を使巧するかどう力、。 
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SCEP ペイロード 

SCEP (Simple Certificate Enrollment Protocol) ペイ ロードであることは、 PayloadType 値 
com.apple.encrypted-profile-service によって示されます。すべてのペイロードに共通の設定 
が外に、このペイロードではが下の設定を定義できます： 



値 1 

URL 

文字列、必須。 

Name 

文字列、オプション。 SCEP サーバによって解釈される文字列。たとえ 
ば、 example . org のようなドメイン名の場合があります。認証局が複数 
の CA 証明書を持っている場合は、このフィールドを使巧して必要な CA 
証明書を識別できます。 

Subject 

配列、オプション。 0 ID および値の配列として表される X . 500名の表現。 
たとえば、 7 C = US /0 =Apple lnc ./ CN = foo /1.2.5.3 =barj でず。これは 
が下のように変換されまず： 

[[ [" C / VS "] ], [ [" OV'Apple In 仁"]],..., [ n .2.5.3 V ' bar "]]] 

0のは、ドット付きの数字として、 C 、 し ST 、 0、 0 U、CN (国、地域、 

州、組織、組織単位、コモンネーム）のショートカットと共に指定でき 
まず。 

Challenge 

文字列、オプション。事前共有シークしット。 

Keysize 

数値、オプション。ビット単位のキーサイズで、1024または2048のい 
ずれ力、。 

Key Type 

文字列、オプション。現在は常に 「 RSAj でず。 

Key Usage 

数値、オプション。キーの用途を示すビットマスク。1は署名、4は暗号 
化、5は署名と暗号化の両方です 。 Windows CA など一部の CA は暗号 
化のみまたは署名のみをサポートし、両方を同時にはサポートしません。 


SubjectAltName ディクショナリキー 

SCEP ペイロードに SubjectAltName ディクショナリを指定して、 CA が証明書を発行するため 
に必要な値を記述することもできます。キーごとに、1つの文字列または文字列の配列を指定で 
きます。指定する値は使用ずる CA によって異なりますが、 DNSS 、 UR しまたはメール値を指 
定します。 85 ぺージの「フエーズ 3 -SCEP 仕様によるサーバ応答のサンプル」の例を參照して 
ください。 

Ge に ACaps ディクショナリキー 

GetCACaps キーでディクショナリを追加したデバイスは、指定されている文字列を CA の能力 
に関する信頼できる情報ソースとして使用しまず。追加していないデバイスは、 CA に GetCACaps 
を照会し、返された内容を使用します。 CA が応答しない場合は、デフォルトの動作として GET 
3DES および SHA-1 要求を行いまず。 
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APN ペイロード 

APN (アクセスポイント名）ペイロードであることは、 PayloadType 値 com.apple.apn.managed 
によって示されます。すべてのペイロードに共通の設定仪外に、このペイロードではが下の設定 
を定義できます： 



値 1 

Defaul じ Data 

ディクショナリ、必須。このディクショナリでは、2つのキ ー/ 値ペア 
を指定します。 

DefaultsDomainName 

文字列、必須 0 指定可能な値は 「 com . apple . managedCamer 」 のみです。 

apns 

配列、必須。この配列には任意の数のディクショナリを含めることがで 
き、各ディクショナリでが下のキ ー/ 値ペアによって APN 構成を指定 
します。 

apn 

文字列、必須。この文字列では、アクセスポイント名を指定します。 

username 

文字列、必須。この文字列では、この APN のユーザ名を指定します。指 
定しない場合は、デバイスでプロファイルのインストール時に入力を求 

められまず。 

password 

データ、オプション。このデータでは、この APN のユーザのベスワー 

ドを指定します。解読されないようにエンコードされます。ペイ□-ド 
で指定しない場合は、デバイスでプロファイルのインストール時に入力 

を求められます。 

proxy 

文字列、オプション。 APN プロキシの IP アドしスまたは URL 。 

proxyPo け 

数値、オプション。 APN プロキシのポート香号。 


Exchange ペイ ロード 

Exchange ペイロードであることは、 PayloadTvpe 値 com.apple.eas.account によって示され 
ます。このペイロードでは、デバイス上に Microsoft Exchange アカウントが作成されます。す 
ベてのペイロードに共通の設定が外に、このペイロードではが下の設定を定義できます： 



値 1 

EmailAddress 

文字列、必須。ペイロードで指定しない場合は、デバイスでプロファイ 
ルのインストール時にこの文字列の入力が求められます。アカウントの 
完全なメールアドレスを指定します。 

Host 

文字列、必須。 Exchange サーバのホスト名（または IP アドレス）を指 
定します。 

SSL 

ブール値、オプション。デフオルトは 「 YESj です。 Exchange サーバ 
で認証に SSL を使用ずるかどラかを指定します。 

UserName 

文字列、必須。この文字列では、この Exchange アカウントのユーザ名 
を指定します。指定しない場合は、デバイスでプロファイルのインス 

1^ール時に入力を求められます。 

Password 

文字列、オプション。アカウントのパスワード。暗号化されたプ□ファ 

イルのみで使巧します。 

Certificate 

オプション。証明書による認証が可能なアカウントの場合は 、 NSData 
blob フォー マツ トの . pl 2 固有名証明書。 
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キ— 


CertificateName 文字列、オプション。証明書の名前または説明を指定します。 


CertificatePassword オプション。 p じ固有名証明書に必要なパスワード。暗号化されたプロ 

ファイルのみで使用します。 


VPN ペイ□—ド 

VPN ペイ ロー ドであることは、 PayloadType 値 com . apple . vpn . managed によって示されます。 
ずべてのペイ ロー ドタイプに共通の設定臥外に、 VPN ペイ ロー ドではが下のキーを定義でき 
まず。 


キ— 


UserDefinedName 文字列。デバイスに表示される VPN 接続の説明です。 

OverridePrimary ブール値。すべてのトラフィックを VPN インターフェイス経由で送信 

するかどうかを指定します。 「true」 に設定した場合は、すべてのネッ 
トワークトラフィックが VPN 経由で送信されます。 

VPNType 文字列。このタイプの VPN 接続のペイロードで利巧可能な設定を指定 

しまず。指定可能な値は 「L2TP」、「PPTP」、「IPSe。 の3つで、それぞ 
れ L2TP、PPTP、Cisco IPSec に対応します。 


最上位の 「 PPP 」 キーと nPSecj キーにそれぞれディクショナリを定義できます。が下では、こ 
れら2つのディクショナリ内のキーについての説明と、そのキーが使用される VPNType の値を 
/」、します。 

PPP ディクショナリキー 

が下の要素は PPP タイプの VPN ペイロー ドで使用されます。 



値 1 

AuthName 

文字列。 VPN アカウントのューザ名です。 L2TP および PPTP で使巧さ 
れます。 

AuthPassword 

文字列、オプション。 TokenCard が 「falsej の場をにのみ表示されま 
す。 L2TP および PPTP で使用されます。 

TokenCard 

ブール値。接続に RSA SecurlD などの卜ークンカードを使巧ずるかどう 
かを指定します。 L2TP で使用されます。 

Comm RemoteAddress 

文字列。 VPN サーバの IP アドしスまたはホスト名です。 L2TP および 
PPTP で使用されます。 

AuthEAPPIugins 

配列。 RSA SecurlD を使用する場合にのみ表示されまず。使巧する場合、 
エントリーは！つで、値は文字列 「EAP-RSAj になります。 L2TP およ 
び PPTP で使巧されます。 

AuthProtocol 

配列。 RSA SecurlD を使用する場合にのみ表示されまず。使巧する場合、 
エントリーは！つで、値は文字列 「EAP」 になりまず。 L2TP および PPTP 
で使用されます。 

CCPMPPE40Enabled 

ブール値。 CCPEnabled の説明を参照してください。 PPTP で使巧され 
まず。 
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キ— 

値 

CCPMPPE128Enabled 

ブール値。 CCPEnabled の説明を参照してください。 PPTP で使巧され 
ます。 

CCPEnabled 

ブール値。接続の暗号化を有効にします。このキーと 
O：PMPPE40Enabled が 「true」 の場合は、自動の暗号化レベルに設定 
されます。このキーと CCPMPPE128Enabled が 「truej の場をは、最 
大の暗号化しベルに設定されまず。暗号化を使用しない場合は、すべて 
の CCP キーを 「truej にしないようにします。 PPTP で使用されます。 

IPSec デイクシヨナリキー 

が下の要素は IPSec タイプの VPN ペイロードで使用されます。 

キ- 

値 

RemoteAddress 

文字列。 VPN サーバの IP アドしスまたはホスト名です。 Cisco IPSec で 
使用されます。 

AuthenticationMethod 

文字列。 「SharedSecret」 または 「Ce け ificatej のいずれかを指定しまず。 
L2TP および Cisco IPSec で使用されます。 

XAuthName 

文字列。 VPN アカウントのユーザ名です。 Cisco IPSec で使巧されます。 

XAuthEnabled 

整数。 XAUTH を有効にする場合はリム無効にする場合は「0」を指定 
しまず。 Cisco IPSec で使用されます。 

Localldentifier 

文字列。 AuthenticationMethod が 「SharedSecretj の場合にのみ表示 
されまず。使巧するグループの名前を指定します。八イブリッド認証を 
使用ずる場合は、この文字列の末尾に 「[hybrid]」 を付ける必要があり 
ます。 Cisco IPSec で使巧されます。 

Localldent げ ierType 

文字列。 AuthenticationMethod が 「SharedSecretj の場合にのみ表示 
されます。値は 「KeylD」 でず。 L2TP および Cisco IPSec で使巧されます。 

SharedSecret 

データ。この VPN アカウントの共有シークレットでず。 
AuthenticationMethod が 「SharedSecret」 の場合にのみ表示されま 
す。 L2TP および Cisco IPSec で使巧されまず。 

PayloadCertificateUUID 

文字列。アカウント資格情報に使用ずる証明書の UUID です。 
AuthenticationMethod 力《 「Ce け ificate」 の場合にのみ表示されます。 
Cisco IPSec で使巧されます。 

PromptForVPNPIN 

ブール値。接続時に PIN の入力を求めるかどラかを指定します。 

Cisco IPSec で使巧されます。 
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Wi - Fi ペイロード 

Wi-Fi ペイロードであることは、 PayloadType 値 com . apple . wifi.managed によって示されます。 
ここでは、 PayloadVersion 値パ'-ジョン0について説明します。すべてのペイロードタイプに 
共通の設定が外に、このペイロードではが下のキーを定義できます。 


キ— 


SSID.STR 文字列。使巧する Wi-Fi ネットワークの SSID です。 

HIDDEN_NETWORK ブール値。デバイスでは、ネットワークを区別するために、 SSID が外に 

ブロードキャストのタイプや暗号化のタイプなどの情報も使巧されま 
す。デフオルトでは、構成されたずべてのネットワークが公開されてい 
るものまたはブロードキャストであるとみなされます。非公開のネット 
ワークを指定するには、 HIDDEN_NETWORK キーのブール値を指定す 
る必要があります。 


EncryptionType 文字列。 EncryptionType に指定可能な値は 「WEPj、WPAj、 または 

「Anyj です。 「 WPAj は、 WPA および WPA2 に対応し、両方の暗号化 
タイプに該当しまず。これらの値は必ず、ネットワーク■アクセス-ポ 
イントの機能と正確に一致させてくださし^。暗号化タイプが分からない 
場合、またはすベての暗号化タイプに該当させたい場合は、 「Anyj を使 
巧します。 


Password 文字列、オプション。バスワードを指定しなくても、既知のネットワー 

クの一覧にネッ トワークが追加されます。ユーザがネットワークに接続 
するときに、パスワードの入力を求められます。 


802 .IX エンタープライズネットワークを使用する場合は、 EAP クライアント構成ディクショナ 
リを指定する必要がありまず。 

EAPCIientConfiguration ディクショナリ 

標準的な暗号化タイプが外に、 EAPCIientConfiguration キーを使用して特定のネットワークの 
エンタープライズプロファイルを指定できます。このキーを使用する場合、値はが下のキーを含 
むディクショナリになりまず。 


キ— 


UserName 文字列、オプション。正確なユーザ名が分からない場合は、読み込まれ 

た構成にこのプロバテイは表示されません。ユーザは認証時に自分でこ 
の情報を入力できまず。 

AcceptEAPTypes 整数値の配列。次のタイプの EAP が受け入れられます： 

13=TLS 
17 = LEAP 
21二 TTLS 
25二 REAP 
43二 EAP-FAST 
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キ— 


PayloadCertificateAnchorUUID 文字列の配列、オプション。この認証で信頼される証明書を識別します。 

各エントリーに証明書ペイロードの UUID が含まれている必要がありま 
す。リストされた証明書が信頼されているかどラかをデバイスがユーザ 
に確認しないようにずるには、このキーを使用します。 

このプロバテイを指定した場合は、 TLSAIIowTrustExceptions を 「true」 
に設定した場合を除いて、動的な信頼（証明書ダイア□グ）が無効にな 
ります。 


TLSTrustedServerNames 文字列値の配列、オプション。受け入れるサーバ証明書のコモンネーム 

のリストです。ワイルドカードを使用して名前を指定することもできま 
す（例： wpa*.example.com)。 このリストにない証明書をサーバが提 
示した場合、そのサーバは信頼されません。 

このプロパティを単独で使巧するか TLSTrustedCe け ificates と一緒に使 
巧して、特定のネットワークで信頼される証明書のリストをきちんと作 
成すれば、証明書を動的に信頼してもらう必要がなくなります。 

このプロパティを指定した場合は、 TLSAIIowTrustExceptions を 「true」 
に設定した場合を隙いて、動的な信頼（証明書ダイア□グ）が無効にな 
りまず。 


TLSAIIowTrustExceptions ブール値、オプション。ユーザが信頼性を動的に決定するのを許可また 

は禁止します。動的な信頼とは、証明書が信頼されていないときに表示 
される証明書ダイアログのことです。これを rfalsej に設定ずると、証 
明書があらかじめ信頼されていない限り認証に失敗しまず。前述の 
PayloadCe け ificateAnchorUUID と TLSTrustedNames を参照してくだ 
さし、。 

このプロパティのデフォルト値は、 PayloadCe け ificateAnchorUUID ま 
たは TLSTrustedServerNames が指定されていない場合は 「true」、 指定 
されている場合は 「falsej です。 

TTLSInnerAuthentication 文字列、オプション。これは、 TTLS モジュールで使巧される内部認証 

です。デフォルト値は 「 MSCHAPv 2 j です。 

指定可能な値は 「PAP」、「CHAPj、「MSCHAPj、 および 「MSCHAPv2」 
です。 


Outerldentity 


文字列、オプション。このキーは、 TTLS、PEAP、 および EAP-FAST で 
のみ使用されます。 


この設定を使巧すると、ユーザが自分の固有名を隠すことができます。 
ユーザの実隙の名前は、暗号化されたトンネル内でのみ表示されます。 
たと义ば、 「anonymousj 、 「anon」、「anon@myconnpany.netj など 
に設定できます。 

認証を行っているユーザの名前を攻撃者がクリアテキストで見ること 
ができないため、セキュリティを高めることができます。 


EAP-Fast への巧応 

EAP - FAST モジュールでは、 EAPCIientConfiguration ディクショナリでが下のプロパティが使用 
されます。 


キ— 


EAPFASTUsePAC ブール値、オプション。 

EAPFASTProvisionPAC ブール値、オプション。 

EAPFASTProvisionPACAnonymously ブール値、オプション。 


付録 B 構成プロファイルのフォーマット 















これらのキーには、階層的な性質がありまず。 EAPFASTUsePAC を 「 falsej にすると、残りの 
2つのプロパティは無視されます。同様に、 EAPFASTProvisionPAC を 「 false 」 にすると、 
EAPFASTProvisionPACAnonymously は無視されまず。 


EAPFASTUsePAC を 「 false 」 にした場合、認証は PEAP または TTLS とほぼ同じように巧われま 
ず。サーバが毎回、証明書を使用して身元を証明します。 

EAPFASTUsePAC を 「 truej にした場合、既をの PAC があるときはそれが使用されます。現在 
のところ、デバイスで PAC を取得する方法には、 PAC のプロビジョニングを許可する方法しか 
ありません。そのため、 EAPFASTProvisionPAC を有効にし、必要に応じて 
EAPFASTProvisionPACAnonymously を有効にする必要があります。 

EAPFASTProvisionPACAnonymously にはセキュリティ上の弱点があります。これを使用ずる 
とサーバが認証されないため、中間者攻撃を受けやずくなりまず。 

証明書 

VPN 構成と同様に、証明書の固有名構成を Wi - Fi 構成に関連付けることができます。これは、セ 
キュリティ保護されたエンタープライズネットワークの資格情報を定義するときに便利でず。固 
有名を関連付けるには、その固有名のペイロードの UUID を PayloadCertificateUUID キーに指 
定します。 


キ— 


PayloadCertificateUUID 文字列。固有名資格情報に使用ずる証明書ペイロードの UUID でず。 


サンプルの構成プロファイル 

このセクションでは、無線での登録と構成フェーズが記述されているサンプルプロファイルを紹 
介します。ここで示すのはサンプルであり、実際に必要なものとは異なります。構文を理解ずる 
ために、この付録ですでに説明した詳細を参照してください。各フェーズの説明は、22ページ 
の「無線での登録と構成」を参照してください。 

フエーズ 1 - サーバ応答のサンプル 

<?xml version="1.0" encoding="UTF-8"?> 

<1D0CTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http：// 

WWW. apple.com/DTDs/PropertyList-1.0.dtd"> 

<plist version="1.0"> 

<dict> 

<key>Paylo 互 dContent</key> 

<dict> 

<key>URL</key> 

<string>https :/ /profileserver.example.com/iphone</string> 
<key>DeviceAttributes</k.ey> 

< 互 rray> 

<string>UDID</string> 

<string>IMEI</string> 

<string>ICCID</string> 

<string>VERSION</string> 
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く string>PRODUCT</string> 

</array> 

<key>Challenge</key> 

<string> オプシヨンのチャしンジ </string> 

または 

<data>base64-encoded</data> 

</dict> 

<key>PavloadOr 曰 anization</kev> 

<string>Example Inc. く/ strin 口 > 

<key>PayloadDisplayName</key> 

く string> プ□ファイル サービ ス </string> 

<key>PavloadVersion</key> 

<inte 曰 er>l</integer> 

<key>PayloadUUID</key> 

<string>fdb376e5-b5bb-4d8c-829e-e 90865 f990c9</string> 
<key>PavloadIdentifier</key> 

<string>com.example.mobileconfig.profi 丄 e-service</string> 
<key>PayloadDescription</key> 

<string>Example Inc の暗号化されたプロファイルサービスにデバイスを入力しますく / string 〉 
<key>Paylo 互 dTvpe</key> 

<string> プ □ フアイ J しサー ビス </ string> 

</dict> 

</plist> 


フエーズ 2 ■デバイス応答のサンプル 

<?xml version="1.0" encoding="UTF-8"?> 

<1D0CTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.eom/ 
DTDs/PropertyList-1.0.dtd"> 

<plist version="1.0"> 

<dict> 

<key>UDID</key> 

<string></string> 

<key>VERSION</key> 

<string>7Al82</string> 

<key>MAC ADDRESS EN0</key> 

<string>00:00:00:00:00:00</string> 

<key>CHALLENGE</key> 

次のいずれ力、： 

<string> 文き歹リ </string> 

または： 

<data>"base64 エンコードのデータ "</data> 

</dict> 

</plist> 
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フエーズ 3 - SCEP 仕様によるサーバ応答のサンプル 

<?xml version="1.0" encoding="UTF-8"?> 

<1D0CTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http：// 
WWW. apple.com/DTDs/PropertyList-1.0.dtd"> 

<plist version="1.0"> 

<dict> 

<key>PayloadVersion</key> 

<integer>l</integer> 

<key>Paylo3dUUID</key> 

<string> 無視 </string> 

<key>PayloadType</key> 

<string> 構成 </string> 

<key>PayloadIdentifier</key> 

<string> 無視 </string> 

<key>PayloadContent</key> 

<array> 

<dict> 

<key>PayloadConte 打 t く/ key> 

<dict> 

<key>URL</key> 

<string>https :/ /seep.example.com/scep</string> 
<key>Name</key> 

<string>EnrollmentCAInstance</string> 

<key>Subject</key> 

<3rr3y> 

<array> 

<3rray> 

く string>0</string> 

<string>Example, Inc.</string> 

</array> 

</array> 

<arr3y> 

<arr3y> 

<string>CN</string> 

<string> ユー廿デノくイス証明書 </string> 

</array> 

</array> 

</array> 

<key>Challenge</kev> 

<string>...</string> 

<key>Keysize</key> 

<integer>1024</integer> 

<key>Key Type</key> 

<string>RSA</string> 

<key>Key Usage</key> 

<integer>5</integer> 


付録 B 構成プロファイルのフォーマット 


</dict> 

<key>PayloadDescription</key> 

く string> デバイス暗号化固有名を入力しまず </string> 
<key>P3yloadUUID</key> 

<string>fd8a6b9e-0fed-406f-957l-8ec 98722 b713</string> 
<key>P3yloadType</kev> 

<strina>com.apple.securitv.scep</string> 
<key>PavloadDisplayName</k.ey> 

<string> 暗号イヒ固有名 </stiring> 

<key>PayloadVersion</key> 

<integer>l</integer> 

<key>PayloadOrganization</key> 

<string>Example, Inc.</string> 

<key>PayloadIdentifier</key> 

<string>com.example.profileservice.scep</string> 
</dict> 

</array> 

</dict> 

</plist> 


フエーズ 4 ■デバイス応答のサンプル 

<?xml version="1.0" encoding="UTF-8"?> 

<1D0CTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.eom/ 
DTDs/PropertyList-1.0.dtd"> 

<plist version="1.0"> 

<dict> 

<key>UDID</key> 

<string></string> 

<key>VERSION</key> 

<string>7Al82</string> 

<key>MAC ADDRESS EN0</key> 

<string>00:00:00:00:00:00</string> 

</dict> 

</plist> 
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サンプルスクリプト 


C 


I 


この付録では 、 iPhone 0 S 配備タスクのサンプルスクリプトを紹介 
します。 


このセクシヨンのスクリプトは、実際の要件と構成に合わせて変更する必要があります。 

iPhone 構成ユーテイリテイ用の C # サンプルスクリプト 

このサンプルスクリプトは、 Windows 用の 「 iPhone 構成ユーティリテイ」を使って構成フアイ 
ルを作成する例を示しています。 


usin 曰 System; 

usina Com.Apple.iPCUScripting; 

public Class TestScript : iScript 

{ 

private lApplication —host? 


public TestScript() 


public void main(lApplication inHost) 

{ 

host = inHost; 

string msg = string.Format("# of config profiles : {0}", 
host.ConfigurationProf 1 丄 es.Count); 

Console.WriteLine(msg); 

IConfigurationProfile profile = _host.AddConfigurationProfile(); 

profile.Name = "Profile Via Script"; 

prof 1 丄 e.Identifier = "com.example.configviascript"; 

prof 1 丄 e.Organization = "Example Org"; 

prof 1 丄 ©.Description = "This is a configuration prorile created via the 
new scripting feature in iPCU"; 

// passcode 

IPasscodePayload passcodePayload = profile.AddPasscodePayload(); 
passcodePayload.PasscodeRequired = true; 
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passcodePayload.AllowSimple = true; 


// restrictions 

IRestrictionsPayload restrictionsPayload = 
profile.AddRestrictionsPayload(); 
restrictionsPayload.AllowYouTube = false; 

II wi-fi 

I 阿 iFiPayload wifiPayload = profile.Add 村 iFiPayload( )'• 
wifiPayload.ServiceSetIdentifier = "Example Wi-Fi"; 
wifiPayload.EncryptionType = 阿 irelessEncryptionType. 阿 PA? 
wifiPayload.Password = "password"; 

wifiPayload = profile.AddWiFiPayload(); 
profile.Remove 村 iFiPayload(wifiPayload); 

// vpn 

IVPNPayload vpnPayload = profile.AddVPNPayload(); 
vpnPayload.ConnectionName = "Example VPN Connection"; 

vpnPayload = profile.AddVPNPayload(); 
profile.RemoveVPNPayload(vpnPayload); 


// email 

lEmailPayload emailPayload = profile.AddEmailPayload(); 
emailPayload.AccountDescription = "Email Account 1 Via Scripting"; 

emailPayload = profile.AddEmailPayload(); 

emailPayload.AccountDescription = "Email Account 2 Via Scripting"; 
// exchange 

lExchangePayload exchangePayload = profile.AddExchangePayload(); 
exchangePayload.AccountName = "ExchangePayloadAccount"; 


// Idap 

ILDAPPayload IdapPayload = profile.AddLDAPPayload(); 
IdapPayload.Description = "LDAP Account 1 Via Scripting"; 

IdapPayload = profile.AddLDAPPayload(); 

IdapPayload.Description = "LDAP Account 2 Via Scripting"; 
// webclip 

I 阿 ebClipPayload wcPayload = prof ile. Add 阿 ebClipPayload M'• 
wcPayload.Label="Web Clip 1 Via Scripting"; 

wcPayload = profile.Add 阿 ebClipPayload^); 
wcPayload.Label="Web Clip 2 Via Scripting"; 
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iPhone 構成 ユーテ イリテイ巧のサンプル AppleScript 

このサンプルスクリプトは、 MacOSX 用の 「 iPhone 構成ユーティリテイ」を使って構成ファ 
イルを作成ずる例を示していまず。 


tell application "iPhone Conflauration Utility" 
log (count of every configuration profile) 

set theProrile to make new configuration profile with properties {displayed 
name : "Profile Via Script", profile 

identifier : "com.example.configviascript", organization : "Example Org.", 
account description:"This is a configuration prorile created via 
AppleScript"} 
tell theProfile 

make new passcode payload with properties {passcode required : true , simple 
value allowedrtrue} 

make new restrictions payload with properties {YouTube allowed : false} 
make new WiFi payload with properties {service set identifier:"Example 
Wi-Fi", security tvpe: 阿 PA, password:"password"} 
set the 阿 iFiPayload to make new WiFi payload 
delete the 阿 iFiPayload 

make new VPN payload with properties {connection name : "Example VPN 
Connection"} 

set theVPNPayload to make new VPN payload 
delete theVPNPayload 

make new email payload with properties {account description:"Email 
Account 1 Via Scripting"} 

make new email payload with properties {account description:"Email 
Account 2 Via Scripting"} 

make new Exchange ActiveSync payload with properties {account 
name : "ExchangePayloadAccount"} 

make new LDAP payload with properties {account description:"LDAP Account 

1 Via Scripting"} 

make new LDAP payload with properties {account description:"LDAP Account 

2 Via Scripting"} 

make new web clip payload with properties {label:"Web Clip Account 1 Via 
Scripting"} 

make new web clip payload with properties {label:"Web Clip Account 2 Via 
Scripting"} 
end tell 
end tell 
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